记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

RegretLocker:可加密 Windows 虚拟硬盘的新型勒索软件

2020-11-23 15:47

原文链接:https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/
译者:知道创宇404实验室翻译组

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件,尽管该软件包没有多余的装饰,但仍可能严重破坏Windows计算机上的虚拟硬盘。

RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间,还可以关闭并加密用户当前打开的任何文件。Point3 Security副总裁ChloéMessdaghi将RegretLocker描述为“突破了加密虚拟文件的执行速度障碍的勒索软件”。“ RegretLocker实际上可以抢占虚拟磁盘,并且速度快得多。”

RegretLocker并未向受害者提供冗长的勒索软件说明(勒索软件的常见做法),要求受害者通过电子邮件地址与黑客联系。该电子邮件地址托管在CTemplar上,根据Silicon Angle的说法,CTemplar是位于冰岛的匿名电子邮件托管服务。

受害者收到的标题为“ HOW TO RESTORE FILES.TXT”的简短说明包含以下文本:

“你好朋友。

您的所有文件均已加密。

如果要还原它们,请给我们发送电子邮件:petro@ctemplar.com”

截至周二,威胁情报团队只知道一个报告的野生样本,并且没有已知或报告的受害者。但是,由于这种勒索软件可以快速加密虚拟硬盘,这是勒索软件功能的潜在突破。

勒索软件通常会避免对计算机上找到的虚拟磁盘进行加密尝试,因为这些虚拟磁盘的容量很大,并且加密这些文件的时间只会延迟勒索软件的用途:进入并锁定勒索软件。

但是,RegretLocker对待虚拟磁盘的方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函数将虚拟磁盘挂载为Windows计算机上的物理磁盘。挂载虚拟磁盘后,RegretLocker会分别加密磁盘文件,从而加快了整个过程。

RegretLocker的虚拟硬盘安装功能可能来自安全研究人员odory vx最近在GitHub上发表的研究。MalwareHunterTeam研究人员还分析了RegretLocket的样本,发现它可以脱机运行,也可以在线运行

此外,RegretLocker可以篡改Windows Restart Manager API来终止文件保持打开状态的活动程序或Windows服务。根据IT Pro Portal,其他勒索软件类型使用相同的API,包括SodinokibiRyuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga,使用RegretLocker加密的文件使用.mouse扩展名。


Paper本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:http://www.hackdig.com/11/hack-206352.htm


知识来源: https://paper.seebug.org/1406/

阅读:27375 | 评论:0 | 标签:加密 勒索 windows

想收藏或者和大家分享这篇好文章→复制链接地址

“RegretLocker:可加密 Windows 虚拟硬盘的新型勒索软件”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云

本页关键词