Новая программа-вымогатель RegretLocker использует множество расширенных функций, которые позволяют ей шифровать виртуальные жесткие диски и закрывать открытые файлы для шифрования.
RegretLocker был обнаружен в октябре и представляет собой простую программу-вымогатель с точки зрения внешнего вида, поскольку он не содержит длинных записок о выкупе и использует для связи электронную почту, а не сайт оплаты Tor.
Записка о выкупе RegretLocker
Источник: BleepingComputer
При шифровании файлов он добавляет безобидно звучащее расширение .mouse к зашифрованным именам файлов.
Зашифрованные файлы
RegretLocker Источник: BleepingComputer
Однако недостаток внешнего вида компенсируется расширенными функциями, которые мы обычно не видим при заражении программами-вымогателями, как описано ниже.
RegretLocker монтирует виртуальные жесткие диски
При создании виртуальной машины Windows Hyper-V виртуальный жесткий диск создается и сохраняется в файле VHD или VHDX.Эти файлы виртуальных жестких дисков содержат необработанный образ диска, включая таблицу разделов и разделы диска, и, как и обычные диски, могут иметь размер от нескольких гигабайт до терабайт.
Когда программа-вымогатель шифрует файлы на компьютере, шифрование большого файла неэффективно, так как это снижает скорость всего процесса шифрования.
В примере программы-вымогателя, обнаруженной MalwareHunterTeam и проанализированной Виталием Кремезом из Advanced Intel , RegretLocker использует интересную технику монтирования файла виртуального диска, чтобы каждый из его файлов мог быть зашифрован индивидуально.
Для этого RegretLocker использует функции Windows Virtual Storage API OpenVirtualDisk , AttachVirtualDisk и GetVirtualDiskPhysicalPath для монтирования виртуальных дисков.
Монтирование файла VHD
Как показано в отладочном сообщении программы-вымогателя, она специально ищет VHD и подключает их при обнаружении.
parse_files() | Found virtual drive: %ws in path: %s
После того, как виртуальный диск смонтирован как физический диск в Windows, программа-вымогатель может зашифровать каждый из них по отдельности, что увеличивает скорость шифрования.
Считается, что код, используемый RegretLocker для монтирования VHD, был взят из недавно опубликованного исследования исследователя безопасности smelly__vx .
Помимо использования API виртуального хранилища, RegretLocker также использует API диспетчера перезапуска Windows для завершения процессов или служб Windows, которые сохраняют файл открытым во время шифрования.
При использовании этого API Кремез сообщил BleepingComputer, что если имя процесса содержит «vnc», «ssh», «mstsc», «System» или «svchost.exe», программа-вымогатель не остановит его. Этот список исключений, вероятно, используется для предотвращения завершения критических программ или программ, используемых злоумышленником для доступа к скомпрометированной системе.
Список исключений диспетчера перезапуска Windows
Функция Windows Restart Manager используется только несколькими программами-вымогателями, такими как REvil (Sodinokibi ), Ryuk , Conti , ThunderX / Ako , Medusa Locker , SamSam и LockerGoga .
RegretLocker на данный момент не очень активен, но это новое семейство, за которым мы должны следить.
Перевод Google
Bleeping Computer
