Novi RegretLocker ransomware cilja Windows virtuelne mašine

Novi ransomware po imenu RegretLocker koristi niz naprednih opcija koje mu dozvoljavaju da enkriptuje virtuelne hard diskove. Otkriven je u oktobru, a radi se o jednostavnom ransomwareu, budući da ne sadrži kompleksne poruke i za komunikaciju, umesto Tor sajta za plaćanje, koristi najobičniji mejl.

Za enkriptovanje imena fajlova koristi se .mouse ekstenzija, a iza jednostavne pojave kriju se napredne opcije kojih obično nema u ransomware napadima. Kada kreira Windows Hyper-V virtuelnu mašinu, virtualni hard disk se pravi i čuva u okviru nekog VHD ili VHDX fajla. Ovi virtuelni hard diskovi sadrže particije kao i obični hard diskovi, te isto tako mogu da variraju i po veličini prostora za skladištenje, koja se kreće od nekoliko gigabajta do nekoliko terabajta. RegretLocker koristi neobičnu tehniku za savladavanje fajlova na virtuelnom disku, pa se svaki enkriptuje zasebno. Da bi to postigao, ransomware koristi Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk i GetVirtualDiskPhysicalPath funkcije. Sa posebnom pažnjom traga za VHD fajlovima, te ih enkriptuje čim budu detektovani.

Pored pomenutog, novi ransomware zloupotrebljava i Windows Restart Manager API, uz pomoć kojeg okončava procese koji fajlove zatvaraju tokom enkripcije. Time se sprečava zatvaranje sumnjivih programa u toku napada. Windows Restart Manager opciju je do sada koristilo samo nekoliko ransomwarea – REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam i LockerGoga. Sada je došao i red na RegretLocker, koji trenutno nije aktivan, ali eksperti upozoravaju da bi ga trebalo držati na oku.

Izvor: Bleeping Computer