文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新的勒索软件——RegretLocker,可以加密Windows虚拟硬盘

2024-12-03 04:31

关注

研究人员发现RegretLocker可以通过一个巧妙的方法,绕过加密虚拟硬盘时通常需要的长时间加密,并且可以关闭用户当前打开的任何文件,然后对这些文件进行加密。

[[399803]]

Point3 Security公司战略副总裁克洛伊·梅萨吉(Chloe Messdaghi)称:

“RegretLocker突破了虚拟文件加密的执行速度障碍,它实际上会捕获虚拟磁盘,而且执行速度比以前攻击虚拟文件的勒索软件快得多。”

RegretLocker并没有向受害者提供冗长的勒索软件通知,这是当今许多勒索软件的常见做法,它还要求受害者通过电子邮件地址联系攻击者。这个电子邮件地址托管在CTemplar上,根据Silicon Angle的说法,CTemplar是一家位于冰岛的匿名电子邮件托管服务公司。

受害者收到的为“ HOW TO RESTORE FILES.TXT”的简短说明包含以下内容:

“你好,朋友,你所有的文件都被加密了。如果你想恢复它们,请给我们发邮件:petro@ctemplar.com”

截至周二,我们的威胁情报小组只发现一个野外样本,没有已知或报告的受害者。然而,这种勒索软件仍然应该受到关注,因为它能够快速加密虚拟硬盘,这是勒索软件功能的一个潜在突破。

通常情况下,勒索软件会避免对设备上的虚拟磁盘进行加密,因为这些虚拟磁盘可能非常大,加密这些文件的时间只会延迟勒索软件的目的——进入设备并锁定它。

不过,RegretLocker对虚拟磁盘的处理方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函数将虚拟磁盘作为物理磁盘挂载到Windows设备上。一旦虚拟磁盘被挂载,RegretLocker就会对磁盘上的文件进行单独加密,从而加快整个进程。

RegretLocker的虚拟硬盘安装功能可能来自安全研究人员odory__vx最近在GitHub上发表的研究。 MalwareHunterTeam的研究人员还分析了RegretLocket的样本,发现它可以脱机运行也可以在线运行。

此外,RegretLocker可以篡改Windows Restart Manager API,以终止活动程序或保持文件打开的Windows服务。根据IT Pro Portal,其他类型的勒索软件也使用相同的API,包括Sodinokibi、Ryuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga,使用RegretLocker加密的文件使用.mouse扩展名。

本文翻译自:

https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯