信息化觀察網(wǎng)

網(wǎng)絡(luò)安全研究人員上個月發(fā)現(xiàn)了一種名為RegretLocker的新型勒索軟件，盡管它的軟件包很簡單，但卻能對Windows電腦上的虛擬硬盤造成嚴(yán)重破壞。

研究人員發(fā)現(xiàn)RegretLocker可以通過一個巧妙的方法，繞過加密虛擬硬盤時通常需要的長時間加密，并且可以關(guān)閉用戶當(dāng)前打開的任何文件，然后對這些文件進(jìn)行加密。

Point3 Security公司戰(zhàn)略副總裁克洛伊·梅薩吉(Chloe Messdaghi)稱：

“RegretLocker突破了虛擬文件加密的執(zhí)行速度障礙，它實(shí)際上會捕獲虛擬磁盤，而且執(zhí)行速度比以前攻擊虛擬文件的勒索軟件快得多。”

RegretLocker并沒有向受害者提供冗長的勒索軟件通知，這是當(dāng)今許多勒索軟件的常見做法，它還要求受害者通過電子郵件地址聯(lián)系攻擊者。這個電子郵件地址托管在CTemplar上，根據(jù)Silicon Angle的說法，CTemplar是一家位于冰島的匿名電子郵件托管服務(wù)公司。

受害者收到的標(biāo)題為“HOW TO RESTORE FILES.TXT”的簡短說明包含以下內(nèi)容：

“你好，朋友，你所有的文件都被加密了。如果你想恢復(fù)它們，請給我們發(fā)郵件:petro ctemplar.com”

截至周二，我們的威脅情報(bào)小組只發(fā)現(xiàn)一個野外樣本，沒有已知或報(bào)告的受害者。然而，這種勒索軟件仍然應(yīng)該受到關(guān)注，因?yàn)樗軌蚩焖偌用芴摂M硬盤，這是勒索軟件功能的一個潛在突破。

通常情況下，勒索軟件會避免對設(shè)備上的虛擬磁盤進(jìn)行加密，因?yàn)檫@些虛擬磁盤可能非常大，加密這些文件的時間只會延遲勒索軟件的目的——進(jìn)入設(shè)備并鎖定它。

不過，RegretLocker對虛擬磁盤的處理方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函數(shù)將虛擬磁盤作為物理磁盤掛載到Windows設(shè)備上。一旦虛擬磁盤被掛載，RegretLocker就會對磁盤上的文件進(jìn)行單獨(dú)加密，從而加快整個進(jìn)程。

RegretLocker的虛擬硬盤安裝功能可能來自安全研究人員odory__vx最近在GitHub上發(fā)表的研究。MalwareHunterTeam的研究人員還分析了RegretLocket的樣本，發(fā)現(xiàn)它可以脫機(jī)運(yùn)行也可以在線運(yùn)行。

此外，RegretLocker可以篡改Windows Restart Manager API，以終止活動程序或保持文件打開的Windows服務(wù)。根據(jù)IT Pro Portal，其他類型的勒索軟件也使用相同的API，包括Sodinokibi、Ryuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga，使用RegretLocker加密的文件使用.mouse擴(kuò)展名。

本文翻譯自：https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/