En ny ransomware som heter RegretLocker upptäcktes i slutet av 2020. RegretLocker använder olika avancerade funktioner som gör att den kan kryptera virtuella hårddiskar och stänga öppna filer för kryptering. RegretLocker är på många sätt en enkel ransomware, eftersom den inte innehåller en långrandig lösennota och använder e-post för kommunikation snarare än att skicka offer till en Tor-betalningssida.
Vid kryptering av filer lägger den till filtillägget .mouse till krypterade filnamn. RegretLockers avancerade funktioner inkluderar möjligheten att montera virtuella hårddiskar. När du skapar en virtuell Windows Hyper-V-maskin skapas en virtuell hårddisk och lagras i en VHD- eller VHDX-fil. De virtuella hårddiskfilerna innehåller en rå diskavbildning, inklusive enhetens partitionstabell och partitioner. När ett ransomware krypterar filer på en dator är det vanligtvis inte tillräckligt effektivt att kryptera en stor fil eftersom det saktar ner hela krypteringsprocessens hastighet.
Forskare analyserar RegretLocker
I proverna av ransomware som upptäckts av MalwareHunterTeam och analyserats av Advanced Intels Vitali Kremez, monterar RegretLocker en virtuell diskfil så att var och en av dess filer kan krypteras individuellt. För att uppnå detta använder RegretLocker funktionerna Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk och GetVirtualDiskPhysicalPath.
När den virtuella enheten är monterad som en fysisk disk i Windows, kan RegretLocker kryptera var och en individuellt, vilket ökar krypteringshastigheten. Koden som används av RegretLocker för att montera en VHD tros vara baserad på nyligen publicerad forskning av säkerhetsforskaren smelly__vx. Förutom att använda Virtual Storage API, använder RegretLocker också Windows Restart Manager API för att avsluta processer eller Windows-tjänster som håller filer öppna under kryptering.
När du använder detta API, om namnet på en process innehåller 'vnc', 'ssh', 'mstsc', 'System' eller 'svchost.exe', kommer ransomware inte att avsluta den. Denna undantagslista tros användas för att förhindra att viktiga program avslutas eller de som används av hackare för att komma åt det komprometterade systemet. Funktionen Windows Restart Manager används endast av ett litet antal ransomware-stammar som inkluderar REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam och LockerGoga.
Även om RegretLocker inte har varit särskilt aktiv vid det här laget, är det en ny stam att hålla ett öga på.
