RegretLocker と呼ばれる新しいランサムウェアが 2020 年後半に発見されました。 RegretLocker は、仮想ハード ドライブを暗号化し、暗号化のために開いているファイルを閉じることを可能にするさまざまな高度な機能を採用しています。 RegretLocker は、長い身代金要求メッセージを含まず、被害者を Tor 支払いサイトに送るのではなく電子メールを通信に使用するため、多くの点で単純なランサムウェアです。
ファイルを暗号化する場合、暗号化されたファイル名に .mouse 拡張子が追加されます。 RegretLocker の高度な機能には、仮想ハード ディスクをマウントする機能が含まれます。 Windows Hyper-V 仮想マシンを作成すると、仮想ハード ディスクが作成され、VHD または VHDX ファイルに保存されます。 仮想ハード ディスク ファイルには、ドライブのパーティション テーブルとパーティションを含む、生のディスク イメージが含まれています。 ランサムウェアがコンピュータ上のファイルを暗号化する場合、通常、暗号化プロセス全体の速度が低下するため、大きなファイルを暗号化するほど効率的ではありません。
研究者が RegretLocker を分析
MalwareHunterTeam によって発見され、Advanced Intel の Vitali Kremez によって分析されたランサムウェアのサンプルでは、RegretLocker は仮想ディスク ファイルをマウントするため、各ファイルを個別に暗号化できます。 これを実現するために、RegretLocker は Windows 仮想ストレージ API の OpenVirtualDisk、AttachVirtualDisk、および GetVirtualDiskPhysicalPath 関数を使用します。
仮想ドライブが Windows で物理ディスクとしてマウントされると、RegretLocker はそれぞれを個別に暗号化できるため、暗号化速度が向上します。 RegretLocker が VHD をマウントするために利用するコードは、セキュリティ研究者smelly__vx が最近発表した研究に基づいていると考えられています。 RegretLocker は、Virtual Storage API の使用に加えて、Windows Restart Manager API も使用して、暗号化中にファイルを開いたままにするプロセスまたは Windows サービスを終了します。
この API の使用中に、プロセスの名前に「vnc」、「ssh」、「mstsc」、「System」、または「svchost.exe」が含まれている場合、ランサムウェアはプロセスを終了しません。 この例外リストは、重要なプログラムや、ハッカーが侵害されたシステムにアクセスするために使用するプログラムの終了を防ぐために使用されると考えられています。 Windows 再起動マネージャー機能は、REvil (Sodinokibi)、Ryuk、Conti、ThunderX/Ako、Medusa Locker、SamSam、LockerGoga などの少数のランサムウェア株でのみ使用されます。
RegretLocker は現時点ではそれほど活発ではありませんが、注目すべき新しい株です。
