网络安全研究人员发现了一个新的勒索制造器上个月称为后悔锁定器,尽管没有装饰包装,但对Windows机器上的虚拟硬盘可能会对虚拟硬盘造成严重损坏。

通过一个聪明的技巧,后悔锁定器可以绕过加密机器的虚拟硬盘时所需的经常加密时间,并且它可以关闭用户打开的任何文件,然后也会加密这些文件。

Point3安全策略副总裁ChloéMessdaghi描述了遗工,因为“通过执行加密的执行速度障碍而被打破”。

她继续:“regreTocker”实际上抓住虚拟磁盘,并且执行比以前的赎金软件攻击虚拟文件更快。“

尽管勒索厂的最先进的机械,但它的外观仍然很平淡。

regreTocker不会为其受害者提供冗长的赎金软件笔记 - 今天的许多赎金软件类型的常见做法 - 它要求受害者通过电子邮件地址联系威胁演员。电子邮件地址托管在Ctemplar上,根据硅角度,是一个基于冰岛的匿名电子邮件托管服务。

短暂的注意,受害者接收,标题为“如何还原Files.txt”包含以下文本:

“你好朋友。

您的所有文件都已加密。

如果要恢复它们,请发送电子邮件给我们:petro@ctememememememememal.com“

截至周二,我们的威胁情报团队只知道一个野外报告的样本,没有已知或报告的受害者。但是,由于能够快速加密虚拟硬盘,持续的勒索软件能力突破,因此仍然应该观看此勒索软件。

通常,赎金软件避免了任何尝试加密计算机上发现的虚拟磁盘,因为这些虚拟磁盘的大小可能是巨大的,并且加密这些文件的时间只是延迟赎金软件的目的 - 进入机器并锁定它并锁定它。

但是,regreTocker以不同方式对待虚拟磁盘。它利用OpenVirtualDisk,AttaNVirtualDisk和GetVirtualDiskPhysicPath函数将虚拟磁盘挂载为Windows计算机上的物理磁盘。挂载虚拟磁盘后,后悔锁定器单独加密磁盘的文件,从而加快整个过程。

regreTocker的虚拟硬盘安装能力可能来自研究最近发表于Chithub的安全研究员Smelly__Vx。MaluareHunterteam的研究人员还分析了一个后悔的样本和发现它可以脱机以及在线运行

此外,后悔锁定器可以使用Windows Restart Manager API篡改以终止保持文件打开的活动程序或Windows服务。根据IT Pro门户网站,相同的API由其他勒索软件类型使用,包括仙妮策ryuk.,Conti,Medusa Locker,Thunderx,Samsam.和洛克吉哥。用后悔加密的文件使用.mouse扩展。

必威平台APPMalwarebytes用户应该知道我们保护它们免受这种新威胁,如下所示。