Ένα νέο ransomware που ονομάζεται RegretLocker χρησιμοποιεί μια ποικιλία προηγμένων δυνατοτήτων που του επιτρέπει να κρυπτογραφεί εικονικούς σκληρούς δίσκους και να κλείνει ανοιχτά αρχεία για κρυπτογράφηση.
Το RegretLocker ανακαλύφθηκε τον Οκτώβριο και είναι ένα απλό ransomware σε ότι αφορά την εμφάνιση του, καθώς δεν περιέχει ένα σημείωμα λύτρων και χρησιμοποιεί τα email για να επικοινωνήσει.
Κατά την κρυπτογράφηση των αρχείων, θα τους προσθέσει την επέκταση .mouse.
Οι δυνατότητες του όμως είναι πολύ προηγμένες και δεν είναι κάτι που συνήθως βλέπουμε στις μολύνσεις ransomware.
Το RegretLocker τοποθετεί εικονικούς σκληρούς δίσκους
Κατά τη δημιουργία μιας εικονικής μηχανής Windows Hyper-V, δημιουργείται και αποθηκεύεται ένας εικονικός σκληρός δίσκος σε ένα αρχείο VHD ή VHDX.
Αυτά τα εικονικά αρχεία σκληρού δίσκου περιέχουν ένα raw image δίσκου, συμπεριλαμβανομένου του partition table και των partitions, και όπως οι κανονικοί disk drives, μπορεί να κυμαίνονται σε μέγεθος από μερικά gigabyte έως κάποια terabyte.
Όταν ένα ransomware κρυπτογραφεί τα αρχεία σε έναν υπολογιστή, συνήθως δεν επιλέγει να κρυπτογραφήσει ένα μεγάλο αρχείο καθώς επιβραδύνει την ταχύτητα της διαδικασίας κρυπτογράφησης.
Σε ένα δείγμα του ransomware που ανακαλύφθηκε από την MalwareHunterTeam και αναλύθηκε από το Vitali Kremez της Advanced Intel, το RegretLocker χρησιμοποιεί μια ενδιαφέρουσα τεχνική τοποθέτησης ενός αρχείου εικονικού δίσκου έτσι ώστε κάθε ένα από τα αρχεία του να μπορεί να κρυπτογραφηθεί ξεχωριστά.
Για να γίνει αυτό, το RegretLocker χρησιμοποιεί τις λειτουργίες Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk και GetVirtualDiskPhysicalPath για την προσάρτηση/τοποθέτηση εικονικών δίσκων.
Όπως φαίνεται από ένα μήνυμα εντοπισμού σφαλμάτων στο ransomware, αναζητά συγκεκριμένα για VHD και τα τοποθετεί όταν εντοπιστούν.
Μόλις η εικονική μονάδα τοποθετηθεί ως φυσικός δίσκος στα Windows, το ransomware μπορεί να κρυπτογραφήσει το καθένα ξεχωριστά, γεγονός που αυξάνει την ταχύτητα της κρυπτογράφησης.
Ο κώδικας που χρησιμοποιείται από το RegretLocker για την προσάρτηση ενός VHD πιστεύεται ότι προήλθε από μια πρόσφατα δημοσιευμένη έρευνα από τον ερευνητή ασφαλείας smelly__vx.
Εκτός από τη χρήση του Virtual Storage API, το RegretLocker χρησιμοποιεί επίσης το Windows Restart Manager API για τον τερματισμό διαδικασιών ή υπηρεσιών Windows που διατηρούν ένα αρχείο ανοιχτό κατά τη διάρκεια της κρυπτογράφησης.
Κατά τη χρήση αυτού του API, ο Kremez είπε στο BleepingComputer ότι εάν το όνομα μιας διαδικασίας περιέχει τα «vnc», «ssh», «mstsc», «System» ή «svchost.exe», το ransomware δεν θα το τερματίσει. Αυτή η λίστα εξαιρέσεων πιθανότατα χρησιμοποιείται για να αποτρέψει τον τερματισμό κρίσιμων προγραμμάτων ή εκείνων που χρησιμοποιούνται από τον απειλητικό παράγοντα για πρόσβαση στο παραβιασμένο σύστημα.
Το χαρακτηριστικό Windows Restart Manager χρησιμοποιείται μόνο από μερικά ransomware όπως τα REvil (Sodinokibi), Ryuk, Conti, ThunderX / Ako, Medusa Locker, SamSam και LockerGoga.
Το RegretLocker δεν είναι πολύ ενεργό σε αυτό το σημείο, αλλά είναι μια νέα “οικογένεια” που πρέπει να παρακολουθούμε.
