Pod koniec 2020 roku wykryto nowe oprogramowanie ransomware o nazwie RegretLocker. RegretLocker wykorzystuje różne zaawansowane funkcje, które pozwalają mu szyfrować wirtualne dyski twarde i zamykać otwarte pliki w celu zaszyfrowania. RegretLocker pod wieloma względami jest prostym oprogramowaniem ransomware, ponieważ nie zawiera rozwlekłego żądania okupu i do komunikacji wykorzystuje pocztę e-mail, zamiast wysyłać ofiary na stronę płatności Tor.
Podczas szyfrowania plików dodaje rozszerzenie .mouse do zaszyfrowanych nazw plików. Zaawansowane funkcje RegretLocker obejmują możliwość montowania wirtualnych dysków twardych. Podczas tworzenia maszyny wirtualnej Windows Hyper-V tworzony jest wirtualny dysk twardy i zapisywany w pliku VHD lub VHDX. Pliki wirtualnego dysku twardego zawierają surowy obraz dysku, w tym tablicę partycji dysku i partycje. Kiedy oprogramowanie ransomware szyfruje pliki na komputerze, zwykle nie jest wystarczająco skuteczne, aby zaszyfrować duży plik, ponieważ spowalnia cały proces szyfrowania.
Naukowcy analizują RegretLocker
W próbkach oprogramowania ransomware wykrytych przez MalwareHunterTeam i przeanalizowanych przez Vitaliego Kremeza z Advanced Intel, RegretLocker montuje plik na dysku wirtualnym, dzięki czemu każdy z jego plików może być szyfrowany indywidualnie. Aby to osiągnąć, RegretLocker wykorzystuje funkcje API pamięci wirtualnej systemu Windows OpenVirtualDisk, DołączVirtualDisk i GetVirtualDiskPhysicalPath.
Po zamontowaniu dysku wirtualnego jako dysku fizycznego w systemie Windows RegretLocker może zaszyfrować każdy z nich indywidualnie, zwiększając szybkość szyfrowania. Uważa się, że kod używany przez RegretLocker do montowania dysku VHD opiera się na niedawno opublikowanych badaniach przeprowadzonych przez badacza bezpieczeństwa, śmierdzącego__vx. Oprócz korzystania z interfejsu API magazynu wirtualnego RegretLocker korzysta również z interfejsu API Menedżera ponownego uruchomienia systemu Windows w celu zakończenia procesów lub usług systemu Windows, które utrzymują otwarte pliki podczas szyfrowania.
Jeśli podczas korzystania z tego interfejsu API nazwa procesu zawiera „vnc”, „ssh”, „mstsc”, „System” lub „svchost.exe”, oprogramowanie ransomware go nie zakończy. Uważa się, że ta lista wyjątków służy do zapobiegania kończeniu programów krytycznych lub programów wykorzystywanych przez hakerów w celu uzyskania dostępu do zaatakowanego systemu. Funkcja Menedżera ponownego uruchomienia systemu Windows jest używana tylko przez niewielką liczbę odmian oprogramowania ransomware, do których należą REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam i LockerGoga.
Chociaż RegretLocker nie był w tym momencie zbyt aktywny, jest to nowy szczep, na który warto zwrócić uwagę.
