2020 年底发现了一种名为 RegretLocker 的新型勒索软件。RegretLocker 采用各种高级功能,可以加密虚拟硬盘驱动器并关闭打开的文件进行加密。 从很多方面来说,RegretLocker 都是一种简单的勒索软件,因为它不包含冗长的勒索信息,并且使用电子邮件进行通信,而不是将受害者发送到 Tor 支付网站。
加密文件时,它会将 .mouse 扩展名附加到加密的文件名中。 RegretLocker 的高级功能包括安装虚拟硬盘的能力。 创建 Windows Hyper-V 虚拟机时,会创建虚拟硬盘并将其存储在 VHD 或 VHDX 文件中。 虚拟硬盘文件包含原始磁盘映像,包括驱动器的分区表和分区。 当勒索软件加密计算机上的文件时,加密大文件的效率通常不够高,因为它会减慢整个加密过程的速度。
研究人员分析RegretLocker
在 MalwareHunterTeam 发现并由 Advanced Intel 的 Vitali Kremez 分析的勒索软件样本中,RegretLocker 装载了一个虚拟磁盘文件,因此它的每个文件都可以单独加密。 为了实现这一点,RegretLocker 使用 Windows 虚拟存储 API OpenVirtualDisk、AttachVirtualDisk 和 GetVirtualDiskPhysicalPath 函数。
一旦虚拟驱动器作为物理磁盘安装在 Windows 中,RegretLocker 就可以单独加密每个驱动器,从而提高加密速度。 RegretLocker 用于挂载 VHD 的代码被认为是基于安全研究人员 slimy__vx 最近发表的研究成果。 除了使用虚拟存储 API 之外,RegretLocker 还使用 Windows 重新启动管理器 API 来终止在加密期间使文件保持打开状态的进程或 Windows 服务。
使用此 API 时,如果进程名称包含“vnc”、“ssh”、“mstsc”、“System”或“svchost.exe”,勒索软件将不会终止该进程。 该例外列表被认为用于防止关键程序或黑客用来访问受感染系统的程序终止。 Windows 重新启动管理器功能仅被少数勒索软件菌株使用,包括 REvil (Sodinokibi)、Ryuk、Conti、ThunderX/Ako、Medusa Locker、SamSam 和 LockerGoga。
尽管 RegretLocker 目前还不是很活跃,但它是一个值得关注的新菌株。
