В конце 2020 года была обнаружена новая программа-вымогатель под названием RegretLocker. RegretLocker использует различные расширенные функции, которые позволяют ей шифровать виртуальные жесткие диски и закрывать открытые файлы для шифрования. RegretLocker во многом представляет собой простую программу-вымогатель, поскольку она не содержит подробного требования выкупа и использует электронную почту для связи, а не отправляет жертв на сайт оплаты Tor.
При шифровании файлов к именам зашифрованных файлов добавляется расширение .mouse. Расширенные функции RegretLocker включают возможность монтирования виртуальных жестких дисков. При создании виртуальной машины Windows Hyper-V создается виртуальный жесткий диск, который сохраняется в файле VHD или VHDX. Файлы виртуального жесткого диска содержат необработанный образ диска, включая таблицу разделов и разделы диска. Когда программа-вымогатель шифрует файлы на компьютере, она обычно недостаточно эффективна для шифрования большого файла, поскольку замедляет скорость всего процесса шифрования.
Исследователи анализируют RegretLocker
В образцах программ-вымогателей, обнаруженных MalwareHunterTeam и проанализированных Виталием Кремезом из Advanced Intel, RegretLocker монтирует файл виртуального диска, поэтому каждый из его файлов можно зашифровать индивидуально. Для этого RegretLocker использует функции API виртуального хранилища Windows OpenVirtualDisk, AttachVirtualDisk и GetVirtualDiskPhysicalPath.
После того как виртуальный диск смонтирован как физический диск в Windows, RegretLocker может зашифровать каждый из них по отдельности, увеличивая скорость шифрования. Предполагается, что код, используемый RegretLocker для монтирования VHD, основан на недавно опубликованном исследовании исследователя безопасности запаха __vx. Помимо использования API виртуального хранилища, RegretLocker также использует API диспетчера перезапуска Windows для завершения процессов или служб Windows, которые оставляют файлы открытыми во время шифрования.
Если при использовании этого API имя процесса содержит «vnc», «ssh», «mstsc», «System» или «svchost.exe», программа-вымогатель не завершит его. Предполагается, что этот список исключений используется для предотвращения закрытия критически важных программ или программ, используемых хакерами для доступа к скомпрометированной системе. Функция диспетчера перезапуска Windows используется лишь небольшим количеством разновидностей программ-вымогателей, включая REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam и LockerGoga.
Хотя RegretLocker на данный момент не проявляет особой активности, это новый штамм, за которым стоит следить.
