RegretLocker नामक एक नया रैंसमवेयर 2020 के अंत में खोजा गया था। RegretLocker विभिन्न उन्नत सुविधाओं को नियोजित करता है जो इसे वर्चुअल हार्ड ड्राइव को एन्क्रिप्ट करने और एन्क्रिप्शन के लिए खुली फ़ाइलों को बंद करने की अनुमति देता है। रिग्रेटलॉकर, कई मायनों में, एक साधारण रैंसमवेयर है, क्योंकि इसमें लंबे समय तक चलने वाला फिरौती नोट नहीं होता है और पीड़ितों को टोर भुगतान साइट पर भेजने के बजाय संचार के लिए ईमेल का उपयोग करता है।
फ़ाइलों को एन्क्रिप्ट करते समय, यह एन्क्रिप्टेड फ़ाइल नामों में .माउस एक्सटेंशन जोड़ता है। रिग्रेटलॉकर की उन्नत सुविधाओं में वर्चुअल हार्ड डिस्क को माउंट करने की क्षमता शामिल है। विंडोज़ हाइपर-वी वर्चुअल मशीन बनाते समय, एक वर्चुअल हार्ड डिस्क बनाई जाती है और उसे वीएचडी या वीएचडीएक्स फ़ाइल में संग्रहीत किया जाता है। वर्चुअल हार्ड डिस्क फ़ाइलों में एक कच्ची डिस्क छवि होती है, जिसमें ड्राइव की विभाजन तालिका और विभाजन शामिल होते हैं। जब रैंसमवेयर किसी कंप्यूटर पर फ़ाइलों को एन्क्रिप्ट करता है, तो यह आमतौर पर एक बड़ी फ़ाइल को एन्क्रिप्ट करने के लिए पर्याप्त कुशल नहीं होता है क्योंकि यह संपूर्ण एन्क्रिप्शन प्रक्रिया की गति को धीमा कर देता है।
शोधकर्ताओं ने रिग्रेटलॉकर का विश्लेषण किया
मैलवेयरहंटरटीम द्वारा खोजे गए और एडवांस्ड इंटेल के विटाली क्रेमेज़ द्वारा विश्लेषण किए गए रैंसमवेयर के नमूनों में, रिग्रेटलॉकर एक वर्चुअल डिस्क फ़ाइल को माउंट करता है ताकि इसकी प्रत्येक फ़ाइल को व्यक्तिगत रूप से एन्क्रिप्ट किया जा सके। इसे प्राप्त करने के लिए, RegretLocker Windows वर्चुअल स्टोरेज API OpenVirtualDisk, AttachVirtualDisk और GetVirtualDiskPhysicalPath फ़ंक्शंस को नियोजित करता है।
एक बार जब वर्चुअल ड्राइव विंडोज़ में एक भौतिक डिस्क के रूप में माउंट हो जाती है, तो रिग्रेटलॉकर एन्क्रिप्शन गति को बढ़ाते हुए प्रत्येक को व्यक्तिगत रूप से एन्क्रिप्ट कर सकता है। माना जाता है कि VHD को माउंट करने के लिए RegretLocker द्वारा उपयोग किया गया कोड सुरक्षा शोधकर्ता smashy__vx द्वारा हाल ही में प्रकाशित शोध पर आधारित है। वर्चुअल स्टोरेज एपीआई का उपयोग करने के अलावा, रिग्रेटलॉकर एन्क्रिप्शन के दौरान फाइलों को खुला रखने वाली प्रक्रियाओं या विंडोज सेवाओं को समाप्त करने के लिए विंडोज रीस्टार्ट मैनेजर एपीआई का भी उपयोग करता है।
इस एपीआई का उपयोग करते समय, यदि किसी प्रक्रिया के नाम में 'vnc', 'ssh', 'mstsc', 'System', या 'svchost.exe' शामिल है, तो रैंसमवेयर इसे समाप्त नहीं करेगा। ऐसा माना जाता है कि इस अपवाद सूची का उपयोग महत्वपूर्ण कार्यक्रमों या हैकरों द्वारा समझौता किए गए सिस्टम तक पहुंचने के लिए उपयोग किए जाने वाले कार्यक्रमों को रोकने के लिए किया जाता है। विंडोज़ रीस्टार्ट मैनेजर सुविधा का उपयोग केवल कुछ ही रैंसमवेयर स्ट्रेन द्वारा किया जाता है जिनमें रेविल (सोडिनोकिबी), रयूक, कोंटी, थंडरएक्स/अको, मेडुसा लॉकर, सैमसैम और लॉकरगोगा शामिल हैं।
हालाँकि रिग्रेटलॉकर इस समय बहुत सक्रिय नहीं है, लेकिन नज़र रखने के लिए यह एक नया प्रकार है।
