Eind 2020 werd een nieuwe ransomware genaamd RegretLocker ontdekt. RegretLocker maakt gebruik van verschillende geavanceerde functies waarmee het virtuele harde schijven kan versleutelen en geopende bestanden kan sluiten voor versleuteling. RegretLocker is in veel opzichten een eenvoudige ransomware, omdat het geen langdradige losgeldbrief bevat en e-mail gebruikt voor communicatie in plaats van slachtoffers naar een Tor-betalingssite te sturen.
Bij het coderen van bestanden wordt de extensie .mouse toegevoegd aan gecodeerde bestandsnamen. De geavanceerde functies van RegretLocker omvatten de mogelijkheid om virtuele harde schijven te koppelen. Bij het maken van een virtuele Windows Hyper-V-machine wordt een virtuele harde schijf gemaakt en opgeslagen in een VHD- of VHDX-bestand. De virtuele harde schijfbestanden bevatten een onbewerkte schijfimage, inclusief de partitietabel en partities van de schijf. Wanneer ransomware bestanden op een computer versleutelt, is dit meestal niet efficiënt genoeg om een groot bestand te versleutelen, omdat het de snelheid van het hele versleutelingsproces vertraagt.
Onderzoekers analyseren RegretLocker
In de voorbeelden van de ransomware ontdekt door MalwareHunterTeam en geanalyseerd door Vitali Kremez van Advanced Intel, koppelt RegretLocker een virtueel schijfbestand aan, zodat elk bestand afzonderlijk kan worden gecodeerd. Om dit te bereiken gebruikt RegretLocker de functies Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk en GetVirtualDiskPhysicalPath.
Zodra de virtuele schijf als fysieke schijf in Windows is aangekoppeld, kan RegretLocker elke schijf afzonderlijk versleutelen, waardoor de versleutelingssnelheid toeneemt. Er wordt aangenomen dat de code die door RegretLocker wordt gebruikt om een VHD te mounten, gebaseerd is op recent gepubliceerd onderzoek door beveiligingsonderzoeker stinky__vx. Naast het gebruik van de Virtual Storage API gebruikt RegretLocker ook de Windows Restart Manager API om processen of Windows-services te beëindigen die bestanden openhouden tijdens codering.
Als tijdens het gebruik van deze API de naam van een proces 'vnc', 'ssh', 'mstsc', 'System' of 'svchost.exe' bevat, zal de ransomware het proces niet beëindigen. Er wordt aangenomen dat deze uitzonderingslijst wordt gebruikt om de beëindiging van kritieke programma's of programma's die door hackers worden gebruikt om toegang te krijgen tot het gecompromitteerde systeem te voorkomen. De functie Windows Restart Manager wordt alleen gebruikt door een klein aantal ransomware-varianten, waaronder REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam en LockerGoga.
Hoewel RegretLocker op dit moment nog niet erg actief is, is het een nieuwe soort om in de gaten te houden.
