• Skip to main content
  • Skip to header right navigation
  • Skip to site footer
iGuRu

iGuRu

Νέα Τεχνολογίας σε πραγματικό χρόνο. Απόψεις & Tweaks

  • /news
  • /infosec
  • /tools
  • /tweaks
  • /dummies
  • /απόψεις
  • /support
home / news / Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

04/11/2020 09:17 by Δημήτρης

Ένα νέο ransomware που ονομάζεται RegretLocker χρησιμοποιεί μια ποικιλία προηγμένων δυνατοτήτων που του επιτρέπει να κρυπτογραφεί εικονικούς σκληρούς δίσκους και να κλείνει τα ανοιχτά αρχεία ώστε να τα κρυπτογραφήσει.

Screenshot 2020 10 22 LockBit ransomware moves quietly on the network strikes fast2 - Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Το RegretLocker ανακαλύφθηκε τον Οκτώβριο του 2020 και είναι ένα απλό ransomware από την άποψη της εμφάνισης, καθώς δεν περιέχει ένα εκφοβιστικό μήνυμα για λύτρα, και αντί για ένα ιστότοπο Tor χρησιμοποιεί ένα email για επικοινωνία.

regretlocker ransom note - Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Κατά την κρυπτογράφηση των αρχείων, το RegretLocker προσθέσει την επέκταση .mouse με αβλαβείς ήχους στα κρυπτογραφημένα ονόματα αρχείων.

regretlocker encrypted files - Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Αυτό όμως που το κάνει ιδιαίτερα επικίνδυνο είναι οι προηγμένες δυνατότητες που διαθέτει και που συνήθως δεν βλέπουμε σε μολύνσεις ransomware. Δείτε πως δουλεύει:

Κατά τη δημιουργία μιας εικονικής μηχανής Windows Hyper-V, δημιουργείται και αποθηκεύεται ένας εικονικός σκληρός δίσκος σε ένα αρχείο VHD ή VHDX.

Αυτά τα εικονικά αρχεία σκληρού δίσκου περιέχουν μια εικόνα ακατέργαστου δίσκου, συμπεριλαμβανομένου του πίνακα διαμερισμάτων, και όπως οι κανονικές μονάδες δίσκου, μπορεί να κυμαίνονται σε μέγεθος από μερικά gigabyte έως terabyte.

Όταν ένα ransomware κρυπτογραφεί αρχεία σε έναν υπολογιστή, δεν είναι αποτελεσματικό όταν κρυπτογραφεί ένα μεγάλο αρχείο καθώς επιβραδύνει την ταχύτητα της διαδικασίας κρυπτογράφησης.

Σε ένα δείγμα του ransomware RegretLocker που ανακαλύφθηκε από το MalwareHunterTeam και αναλύθηκε από το Vitali Kremez της Advanced Intel , το RegretLocker χρησιμοποιεί μια ενδιαφέρουσα τεχνική τοποθέτησης ενός αρχείου εικονικού δίσκου έτσι ώστε κάθε ένα από τα αρχεία του να μπορεί να κρυπτογραφηθεί ξεχωριστά.

Για να γίνει αυτό, το RegretLocker χρησιμοποιεί τις λειτουργίες Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk και GetVirtualDiskPhysicalPath για να τοποθετήσει εικονικούς δίσκους. Aναζητά συγκεκριμένα το VHD και το τοποθετεί όταν εντοπιστεί.

Μόλις η εικονική μονάδα τοποθετηθεί ως φυσικός δίσκος στα Windows, το ransomware μπορεί να κρυπτογραφήσει το καθένα ξεχωριστά, γεγονός που αυξάνει την ταχύτητα κρυπτογράφησης.

Εκτός από τη χρήση του Virtual Storage API, το RegretLocker χρησιμοποιεί επίσης το Windows Restart Manager API για τον τερματισμό διαδικασιών ή υπηρεσιών Windows που διατηρούν ένα αρχείο ανοιχτό κατά τη διάρκεια της κρυπτογράφησης.

Η δυνατότητα Windows Restart Manager χρησιμοποιείται μόνο από μερικά ransomware όπως ta REvil (Sodinokibi ), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam και LockerGoga .

Το RegretLocker δεν είναι μέχρι στιγμής και πολύ ενεργό, αλλά είναι μια νέα οικογένεια που πρέπει να παρακολουθούμε.

Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows was last modified: 4 Νοεμβρίου, 2020, 9:17 πμ by Δημήτρης

Subscribe to our newsletter

no spam

spread the news

  • Facebook
  • Twitter
  • Reddit
  • Εκτύπωση
  • Email

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News


Κατηγορία: newstag: ransomware, RegretLocker, virtual, windows, δίσκος, εικονικός

You May Also Like

Τι κάνει το Ctrl + Z; Περισσότερα από ό, τι νομίζετε
Σύλληψη των προγραμματιστών του Egregor ransomware
Επίλυση προβλημάτων oobekeyboard και BIOS

Σχετικά Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Previous Post: « Οι Έλληνες προτιμούν βιομετρικό έλεγχο ταυτότητας για τις αγορές τους
Next Post: Silk Road μετακινεί 1 δις δολάρια σε Bitcoin »

Reader Interactions

Comment Policy:

Tο iGuRu.gr δεν δημοσιεύει άμεσα τα σχόλια. Κακόβουλα σχόλια, σχόλια που συμπεριλαμβάνουν διαφημίσεις, ή σχόλια με ύβρεις διαγράφονται χωρίς καμία προειδοποίηση. Δεν υιοθετούμε τις απόψεις που εκφράζουν οι αναγνώστες μας.
Τα σχολιά σας θα εμφανιστούν μετά την έγκρισή τους από τους διαχειριστές


Αφήστε το σχόλιό σας
Ακύρωση απάντησης

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

 

 © 2021 · iGuRu.gr · ☢ · Keep It Simple Stupid Genesis theme

about  ·   contact  ·  rss  ·  sitemap  ·  tos

loadingΆκυρο
Δεν ήταν δυνατή η αποστολή της δημοσίευσης - ελέγξτε την διεύθυνση email!
Ο έλεγχος του email απέτυχε, παρακαλώ προσπαθήστε ξανά
Το ιστολόγιο σας δεν μπορεί να κοινοποιεί δημοσιεύσεις μέσω email.