新的勒索软件—RegretLocker,加密Windows虚拟硬盘驱动器,对您的虚拟硬盘造成严重破坏。研究人员发现,RegretLocker可以使用一种巧妙的方法绕过加密虚拟硬盘时通常需要的长时间加密,并可以关闭用户当前打开的任何文件,然后加密这些文件。Point3Security企业战略副总裁ChloeMessdaghi表示:“RegretLocker通过实际捕获虚拟磁盘并比之前对虚拟文件的勒索软件攻击更快地执行它,从而打破了虚拟文件加密的执行速度障碍。”快得多。”RegretLocker没有向受害者提供冗长的勒索软件通知,这是当今许多勒索软件的常见做法,它还要求受害者通过电子邮件地址与攻击者联系。该电子邮件地址托管在CTemplar上,CTemplar是一个匿名电子邮件托管服务,基于冰岛,根据SiliconAngle的说法。受害者收到的标题为“HOWTORESTOREFILES.TXT”的短信包含以下内容:“你好朋友,你所有的文件都已加密。如果您想恢复它们,请给我们发送电子邮件:petro@ctemplar.com”截至周二,我们的威胁情报团队只在野外发现了一个样本,没有已知或报告的受害者。但是,由于该勒索软件能够快速加密虚拟硬盘,这是勒索软件功能的潜在突破,因此仍应引起关注。通常,勒索软件会避免加密设备上的虚拟磁盘,因为这些虚拟磁盘可能非常大,而加密这些文件的时间只会延迟勒索软件获得设备访问权限并将其锁定的目标。但是,RegretLocker以不同方式对待虚拟磁盘。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函数将虚拟磁盘挂载为Windows设备上的物理磁盘。挂载虚拟磁盘后,RegretLocker会单独加密磁盘上的文件,从而加快整个过程。RegretLocker的虚拟硬盘挂载功能可能来自安全研究员odory__vx最近在GitHub上发表的研究。MalwareHunterTeam研究人员还分析了RegretLocket的样本,发现它既可以离线运行,也可以在线运行。此外,RegretLocker可以篡改Windows重启管理器API以终止保持文件打开的活动程序或Windows服务。据ITProPortal报道,其他类型的勒索软件使用相同的API,包括Sodinokibi、Ryuk、Conti、MedusaLocker、ThunderX、SamSam和LockerGoga,使用RegretLocker加密的文件使用.mouse扩展名。本文翻译自:https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/
