網(wǎng)絡(luò)安全研究人員上個(gè)月發(fā)現(xiàn)了一種名為RegretLocker的新型勒索軟件，盡管它的軟件包很簡(jiǎn)單，但卻能對(duì)Windows電腦上的虛擬硬盤(pán)造成嚴(yán)重破壞。

研究人員發(fā)現(xiàn)RegretLocker可以通過(guò)一個(gè)巧妙的方法，繞過(guò)加密虛擬硬盤(pán)時(shí)通常需要的長(zhǎng)時(shí)間加密，并且可以關(guān)閉用戶(hù)當(dāng)前打開(kāi)的任何文件，然后對(duì)這些文件進(jìn)行加密。

[[399803]]

Point3 Security公司戰(zhàn)略副總裁克洛伊·梅薩吉(Chloe Messdaghi)稱(chēng)：

RegretLocker并沒(méi)有向受害者提供冗長(zhǎng)的勒索軟件通知，這是當(dāng)今許多勒索軟件的常見(jiàn)做法，它還要求受害者通過(guò)電子郵件地址聯(lián)系攻擊者。這個(gè)電子郵件地址托管在CTemplar上，根據(jù)Silicon Angle的說(shuō)法，CTemplar是一家位于冰島的匿名電子郵件托管服務(wù)公司。

受害者收到的標(biāo)題為“ HOW TO RESTORE FILES.TXT”的簡(jiǎn)短說(shuō)明包含以下內(nèi)容：

截至周二，我們的威脅情報(bào)小組只發(fā)現(xiàn)一個(gè)野外樣本，沒(méi)有已知或報(bào)告的受害者。然而，這種勒索軟件仍然應(yīng)該受到關(guān)注，因?yàn)樗軌蚩焖偌用芴摂M硬盤(pán)，這是勒索軟件功能的一個(gè)潛在突破。

通常情況下，勒索軟件會(huì)避免對(duì)設(shè)備上的虛擬磁盤(pán)進(jìn)行加密，因?yàn)檫@些虛擬磁盤(pán)可能非常大，加密這些文件的時(shí)間只會(huì)延遲勒索軟件的目的——進(jìn)入設(shè)備并鎖定它。

不過(guò)，RegretLocker對(duì)虛擬磁盤(pán)的處理方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函數(shù)將虛擬磁盤(pán)作為物理磁盤(pán)掛載到Windows設(shè)備上。一旦虛擬磁盤(pán)被掛載，RegretLocker就會(huì)對(duì)磁盤(pán)上的文件進(jìn)行單獨(dú)加密，從而加快整個(gè)進(jìn)程。

RegretLocker的虛擬硬盤(pán)安裝功能可能來(lái)自安全研究人員odory__vx最近在GitHub上發(fā)表的研究。 MalwareHunterTeam的研究人員還分析了RegretLocket的樣本，發(fā)現(xiàn)它可以脫機(jī)運(yùn)行也可以在線運(yùn)行。

此外，RegretLocker可以篡改Windows Restart Manager API，以終止活動(dòng)程序或保持文件打開(kāi)的Windows服務(wù)。根據(jù)IT Pro Portal，其他類(lèi)型的勒索軟件也使用相同的API，包括Sodinokibi、Ryuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga，使用RegretLocker加密的文件使用.mouse擴(kuò)展名。

本文翻譯自：

https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/