新的RegretLocker勒索软件针对Windows虚拟机

勒索软件

一种名为RegretLocker的新勒索软件使用了多种高级功能,可以使它加密虚拟硬盘驱动器并关闭打开的文件进行加密。

RegretLocker于10月被发现,在外观上是一种简单的勒索软件,因为它不包含冗长的勒索记录,并且使用电子邮件进行通信,而不是使用Tor付款站点。

RegretLocker赎金记录
RegretLocker赎金记录
来源:BleepingComputer

加密文件时,会将无害的.mouse扩展名附加到加密的文件名中。

RegretLocker加密文件
RegretLocker加密文件
来源:BleepingComputer

但是,它缺乏外观,可以弥补勒索软件感染中通常看不到的高级功能,如下所述。

RegretLocker挂载虚拟硬盘

创建Windows Hyper-V虚拟机时,将创建一个虚拟硬盘并将其存储在VHD或VHDX文件中。

这些虚拟硬盘文件包含原始磁盘映像,包括驱动器的分区表和分区,并且与常规磁盘驱动器一样,大小范围可以从几GB到TB。

当勒索软件对计算机上的文件进行加密时,由于对大型文件进行加密会降低整个加密过程的速度,因此效率不高。

在MalwareHunterTeam发现并由Advanced Intel的Vitali Kremez分析的勒索软件样本中,RegretLocker使用了一种有趣的技术来挂载虚拟磁盘文件,因此可以单独加密每个文件。

为此,RegretLocker使用Windows虚拟存储API OpenVirtualDiskAttachVirtualDiskGetVirtualDiskPhysicalPath函数来安装虚拟磁盘。

挂载VHD文件
挂载VHD文件

如勒索软件中的调试消息所示,它专门搜索VHD并在检测到它们时挂载它们。

parse_files() | Found virtual drive: %ws in path: %s

一旦将虚拟驱动器作为物理磁盘安装在Windows中,勒索软件就可以分别加密每个加密驱动器,从而提高了加密速度。

据信RegretLocker用来安装VHD的代码取自安全研究人员odory__vx最近发表的一项研究。

除了使用Virtual Storage API,RegretLocker还利用Windows Restart Manager API终止在加密过程中保持文件打开状态的进程或Windows服务。

使用此API时,Kremez告诉BleepingComputer,如果进程名称包含“ vnc”,“ ssh”,“ mstsc”,“ System”或“ svchost.exe”,则勒索软件不会终止它。此例外列表可能用于阻止关键程序或威胁参与者用来访问受感染系统的程序的终止。

Windows重新启动管理器例外列表
Windows重新启动管理器例外列表

Windows Restart Manager功能仅由少数勒索软件使用,例如REvil(Sodinokibi),Ryuk,  Conti,  ThunderX / Ako,  Medusa Locker,  SamSam和 LockerGoga

总体来说虽然RegretLocker目前还不太活跃,但这是一个我们需要密切关注的新家族。

*编译:Domino

*来自:bleepingcomputer