新的勒索軟件——RegretLocker,可以加密Windows虛擬硬盤

gejigeji
通常情況下,勒索軟件會避免對設(shè)備上的虛擬磁盤進(jìn)行加密,因為這些虛擬磁盤可能非常大,加密這些文件的時間只會延遲勒索軟件的目的——進(jìn)入設(shè)備并鎖定它。

360截圖16440809323970.png

網(wǎng)絡(luò)安全研究人員上個月發(fā)現(xiàn)了一種名為RegretLocker的新型勒索軟件,盡管它的軟件包很簡單,但卻能對Windows電腦上的虛擬硬盤造成嚴(yán)重破壞。

研究人員發(fā)現(xiàn)RegretLocker可以通過一個巧妙的方法,繞過加密虛擬硬盤時通常需要的長時間加密,并且可以關(guān)閉用戶當(dāng)前打開的任何文件,然后對這些文件進(jìn)行加密。

Point3 Security公司戰(zhàn)略副總裁克洛伊·梅薩吉(Chloe Messdaghi)稱:

“RegretLocker突破了虛擬文件加密的執(zhí)行速度障礙,它實際上會捕獲虛擬磁盤,而且執(zhí)行速度比以前攻擊虛擬文件的勒索軟件快得多。”

RegretLocker并沒有向受害者提供冗長的勒索軟件通知,這是當(dāng)今許多勒索軟件的常見做法,它還要求受害者通過電子郵件地址聯(lián)系攻擊者。這個電子郵件地址托管在CTemplar上,根據(jù)Silicon Angle的說法,CTemplar是一家位于冰島的匿名電子郵件托管服務(wù)公司。

受害者收到的標(biāo)題為“HOW TO RESTORE FILES.TXT”的簡短說明包含以下內(nèi)容:

“你好,朋友,你所有的文件都被加密了。如果你想恢復(fù)它們,請給我們發(fā)郵件:petro ctemplar.com”

截至周二,我們的威脅情報小組只發(fā)現(xiàn)一個野外樣本,沒有已知或報告的受害者。然而,這種勒索軟件仍然應(yīng)該受到關(guān)注,因為它能夠快速加密虛擬硬盤,這是勒索軟件功能的一個潛在突破。

通常情況下,勒索軟件會避免對設(shè)備上的虛擬磁盤進(jìn)行加密,因為這些虛擬磁盤可能非常大,加密這些文件的時間只會延遲勒索軟件的目的——進(jìn)入設(shè)備并鎖定它。

不過,RegretLocker對虛擬磁盤的處理方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函數(shù)將虛擬磁盤作為物理磁盤掛載到Windows設(shè)備上。一旦虛擬磁盤被掛載,RegretLocker就會對磁盤上的文件進(jìn)行單獨加密,從而加快整個進(jìn)程。

RegretLocker的虛擬硬盤安裝功能可能來自安全研究人員odory__vx最近在GitHub上發(fā)表的研究。MalwareHunterTeam的研究人員還分析了RegretLocket的樣本,發(fā)現(xiàn)它可以脫機運行也可以在線運行。

此外,RegretLocker可以篡改Windows Restart Manager API,以終止活動程序或保持文件打開的Windows服務(wù)。根據(jù)IT Pro Portal,其他類型的勒索軟件也使用相同的API,包括Sodinokibi、Ryuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga,使用RegretLocker加密的文件使用.mouse擴展名。

本文翻譯自:https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論