2020 年底發現了一種名為 RegretLocker 的新型勒索軟體。RegretLocker 採用各種進階功能,可加密虛擬硬碟並關閉開啟的檔案以進行加密。 從很多方面來說,RegretLocker 都是一種簡單的勒索軟體,因為它不包含冗長的勒索訊息,並且使用電子郵件進行通信,而不是將受害者發送到 Tor 支付網站。
加密檔案時,它會將 .mouse 副檔名附加到加密的檔案名稱中。 RegretLocker 的進階功能包括安裝虛擬硬碟的能力。 建立 Windows Hyper-V 虛擬機器時,會建立虛擬硬碟並將其儲存在 VHD 或 VHDX 檔案中。 虛擬硬碟檔案包含原始磁碟映像,包括磁碟機的分割區表和分割區。 當勒索軟體加密電腦上的檔案時,加密大檔案的效率通常不夠高,因為它會減慢整個加密過程的速度。
研究者分析RegretLocker
在 MalwareHunterTeam 發現並由 Advanced Intel 的 Vitali Kremez 分析的勒索軟體樣本中,RegretLocker 裝載了一個虛擬磁碟文件,因此它的每個文件都可以單獨加密。 為了實現這一點,RegretLocker 使用 Windows 虛擬儲存 API OpenVirtualDisk、AttachVirtualDisk 和 GetVirtualDiskPhysicalPath 函數。
一旦虛擬磁碟機作為實體磁碟安裝在 Windows 中,RegretLocker 就可以單獨加密每個磁碟器,從而提高加密速度。 RegretLocker 用於掛載 VHD 的程式碼被認為是基於安全研究人員 slimy__vx 最近發表的研究成果。 除了使用虛擬儲存 API 之外,RegretLocker 還使用 Windows 重新啟動管理器 API 來終止在加密期間使檔案保持開啟的程序或 Windows 服務。
使用此 API 時,如果進程名稱包含“vnc”、“ssh”、“mstsc”、“System”或“svchost.exe”,勒索軟體將不會終止該進程。 此例外清單被認為用於防止關鍵程序或駭客用來存取受感染系統的程式終止。 Windows 重新啟動管理器功能僅由少數勒索軟體菌株使用,包括 REvil (Sodinokibi)、Ryuk、Conti、ThunderX/Ako、Medusa Locker、SamSam 和 LockerGoga。
儘管 RegretLocker 目前還不是很活躍,但它是一個值得關注的新菌株。
