Ransomware baru bernama RegretLocker ditemukan pada akhir tahun 2020. RegretLocker menggunakan berbagai fitur canggih yang memungkinkannya mengenkripsi hard drive virtual dan menutup file yang terbuka untuk enkripsi. RegretLocker, dalam banyak hal, adalah ransomware sederhana, karena tidak berisi catatan tebusan yang bertele-tele dan menggunakan email untuk komunikasi daripada mengirim korban ke situs pembayaran Tor.
Saat mengenkripsi file, ia menambahkan ekstensi .mouse ke nama file terenkripsi. Fitur lanjutan RegretLocker mencakup kemampuan untuk memasang hard disk virtual. Saat membuat mesin virtual Windows Hyper-V, hard disk virtual dibuat dan disimpan dalam file VHD atau VHDX. File hard disk virtual berisi image disk mentah, termasuk tabel partisi dan partisi drive. Ketika ransomware mengenkripsi file di komputer, biasanya tidak cukup efisien untuk mengenkripsi file besar karena memperlambat kecepatan keseluruhan proses enkripsi.
Peneliti Menganalisis RegretLocker
Dalam sampel ransomware yang ditemukan oleh MalwareHunterTeam dan dianalisis oleh Vitali Kremez dari Advanced Intel, RegretLocker memasang file disk virtual sehingga setiap filenya dapat dienkripsi satu per satu. Untuk mencapai hal ini, RegretLocker menggunakan fungsi Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk, dan GetVirtualDiskPhysicalPath.
Setelah drive virtual dipasang sebagai disk fisik di Windows, RegretLocker dapat mengenkripsi masing-masing drive secara individual, sehingga meningkatkan kecepatan enkripsi. Kode yang digunakan oleh RegretLocker untuk memasang VHD diyakini berdasarkan penelitian yang baru-baru ini diterbitkan oleh peneliti keamanan stinky__vx. Selain menggunakan Virtual Storage API, RegretLocker juga menggunakan Windows Restart Manager API untuk menghentikan proses atau layanan Windows yang membuat file tetap terbuka selama enkripsi.
Saat menggunakan API ini, jika nama suatu proses mengandung 'vnc', 'ssh', 'mstsc', 'System', atau 'svchost.exe', ransomware tidak akan menghentikannya. Daftar pengecualian ini diperkirakan digunakan untuk mencegah penghentian program penting atau yang digunakan oleh peretas untuk mengakses sistem yang disusupi. Fitur Windows Restart Manager hanya digunakan oleh sejumlah kecil jenis ransomware yang mencakup REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam, dan LockerGoga.
Meskipun RegretLocker belum terlalu aktif saat ini, ini adalah jenis baru yang harus diwaspadai.
