RegretLocker Ransomware
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Rangering: Rangeringen af en bestemt trussel i EnigmaSofts trusseldatabase.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
| Trusselsniveau: | 100 % (Høj) |
| Inficerede computere: | 1 |
| Først set: | January 19, 2011 |
| Sidst set: | November 11, 2020 |
| Berørte operativsystemer: | Windows |
RegretLocker Ransomware er en ny krypto-locker-trussel, der opdages af infosec-forskere. Truslen er unik og er ikke blevet klassificeret som tilhørende nogen af de tidligere etablerede ransomware-familier. Ved første øjekast mangler RegretLocker nogle af de smarte præsentationer, som andre moderne ransomware-trusler har, såsom en detaljeret løsesumnote eller et skræddersyet websted, der hostes på TOR-netværket til kommunikationsformål. At grave lidt dybere viser imidlertid, at RegretLocker Ransowmare truer ekstremt, fordi den er udstyret med flere avancerede og utroligt potente skadelige funktioner.
Når RegretLocker infiltrerer en målrettet computer, fortsætter den med at starte sin krypteringsproces. Næsten alle ofrets filer vil blive låst effektivt og ikke længere tilgængelige eller anvendelige i nogen form eller form. Dette kunne have ødelæggende konsekvenser, hvis de krypterede filer havde en stærk personlig værdi eller var for arbejdsrelaterede projekter. Malwaretruslen tilføjer den uskyldige ' .mouse ' som en ny udvidelse i slutningen af de oprindelige navne på de berørte filer. Hvad angår løsesumnoten med instruktioner fra hackerne, slettes den som en tekstfil med navnet 'HVORDAN GENDANSER FILER.TXT.' Selve noten er ekstremt kort og fortæller blot ofrene at kontakte e-mail-adressen 'petro@ctemplar.com', hvis de vil dekryptere deres data.
RegretLocker Ransomware krypterer virtuelle harddiske
Indtil videre er intet usædvanligt, men her er det, der gør RegretLocker langt skræmmere end normal ransomware - det kan målrette mod Windows Virtual-maskiner, mens det også afslutter processer for at få adgang til åbne filer, der ellers ikke bliver krypteret.
For at en Windows Hyper-V virtuel maskine kan fungere, skal den have en virtuel harddisk, der er gemt i enten VHD- eller VHDX-filer. Afhængigt af de rå diskbilleddata, der findes i disse filer, kan deres størrelse variere fra flere gigabyte helt op til over en terabyte. Ransomware-trusler undgår normalt at målrette mod så store filer, da dette vil bremse krypteringsprocessen enormt. RegretLocker Ransomware er dog udstyret med en løsning. Denne særlige malware-trussel udnytter tre Windows Virtual Storage API-funktioner - OpenVirtualDisk, AttachVirtualDisk og GetVirtualDiskPhysicalPath til at montere de virtuelle diskfiler. Når de er monteret, betragtes filerne som en fysisk disk i Windows, og RegretLocker kan fortsætte med at kryptere hver fil separat og dermed undgå stigningen i krypteringstid.
En anden avanceret og langt fra almindelig teknik, som RegretLocker besidder som en del af sit arsenal, er evnen til at afslutte Windows-tjenester og processer. Målet er at frigive alle åbne filer, der er forbundet med disse processer, så de kan krypteres. For at undgå at forårsage en kritisk systemfejl eller nedbrud har RegretLocker en intern liste over fem processer, der ikke afsluttes - 'vnc,' 'ssh,' 'mstsc,' 'System' og 'svchost.exe.'
