iGuRu
Now Reading
Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows
iGuRu

Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Ένα νέο ransomware που ονομάζεται RegretLocker χρησιμοποιεί μια ποικιλία προηγμένων δυνατοτήτων που του επιτρέπει να κρυπτογραφεί εικονικούς σκληρούς δίσκους και να κλείνει τα ανοιχτά αρχεία ώστε να τα κρυπτογραφήσει.

Screenshot 2020 10 22 LockBit ransomware moves quietly on the network strikes fast2 - Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Το RegretLocker ανακαλύφθηκε τον Οκτώβριο του 2020 και είναι ένα απλό ransomware από την άποψη της εμφάνισης, καθώς δεν περιέχει ένα εκφοβιστικό μήνυμα για λύτρα, και αντί για ένα ιστότοπο Tor χρησιμοποιεί ένα email για επικοινωνία.

regretlocker ransom note - Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Κατά την κρυπτογράφηση των αρχείων, το RegretLocker προσθέσει την επέκταση .mouse με αβλαβείς ήχους στα κρυπτογραφημένα ονόματα αρχείων.

regretlocker encrypted files - Το νέο ransomware RegretLocker στοχεύει εικονικές μηχανές Windows

Αυτό όμως που το κάνει ιδιαίτερα επικίνδυνο είναι οι προηγμένες δυνατότητες που διαθέτει και που συνήθως δεν βλέπουμε σε μολύνσεις ransomware. Δείτε πως δουλεύει:

Κατά τη δημιουργία μιας εικονικής μηχανής Windows Hyper-V, δημιουργείται και αποθηκεύεται ένας εικονικός σκληρός δίσκος σε ένα αρχείο VHD ή VHDX.

Αυτά τα εικονικά αρχεία σκληρού δίσκου περιέχουν μια εικόνα ακατέργαστου δίσκου, συμπεριλαμβανομένου του πίνακα διαμερισμάτων, και όπως οι κανονικές μονάδες δίσκου, μπορεί να κυμαίνονται σε μέγεθος από μερικά gigabyte έως terabyte.

Όταν ένα ransomware κρυπτογραφεί αρχεία σε έναν υπολογιστή, δεν είναι αποτελεσματικό όταν κρυπτογραφεί ένα μεγάλο αρχείο καθώς επιβραδύνει την ταχύτητα της διαδικασίας κρυπτογράφησης.

Σε ένα δείγμα του ransomware RegretLocker που ανακαλύφθηκε από το MalwareHunterTeam και αναλύθηκε από το Vitali Kremez της Advanced Intel , το RegretLocker χρησιμοποιεί μια ενδιαφέρουσα τεχνική τοποθέτησης ενός αρχείου εικονικού δίσκου έτσι ώστε κάθε ένα από τα αρχεία του να μπορεί να κρυπτογραφηθεί ξεχωριστά.

Για να γίνει αυτό, το RegretLocker χρησιμοποιεί τις λειτουργίες Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk και GetVirtualDiskPhysicalPath για να τοποθετήσει εικονικούς δίσκους. Aναζητά συγκεκριμένα το VHD και το τοποθετεί όταν εντοπιστεί.

Μόλις η εικονική μονάδα τοποθετηθεί ως φυσικός δίσκος στα Windows, το ransomware μπορεί να κρυπτογραφήσει το καθένα ξεχωριστά, γεγονός που αυξάνει την ταχύτητα κρυπτογράφησης.

Εκτός από τη χρήση του Virtual Storage API, το RegretLocker χρησιμοποιεί επίσης το Windows Restart Manager API για τον τερματισμό διαδικασιών ή υπηρεσιών Windows που διατηρούν ένα αρχείο ανοιχτό κατά τη διάρκεια της κρυπτογράφησης.

Η δυνατότητα Windows Restart Manager χρησιμοποιείται μόνο από μερικά ransomware όπως ta REvil (Sodinokibi ), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam και LockerGoga .

Το RegretLocker δεν είναι μέχρι στιγμής και πολύ ενεργό, αλλά είναι μια νέα οικογένεια που πρέπει να παρακολουθούμε.

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News

View Comments (0)

Leave a Reply

Your email address will not be published.

 

iGuRu.gr © 2012 - 2021 Keep it Simple Stupid Custom Theme

Scroll To Top