RegretLocker Ransomware
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Classifica: la classifica di una particolare minaccia nel database delle minacce di EnigmaSoft.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
Livello di minaccia: | 100 % (Alto) |
Computer infetti: | 1 |
Visto per la prima volta: | January 19, 2011 |
Ultima visualizzazione: | November 11, 2020 |
Sistemi operativi interessati: | Windows |
Il RegretLocker Ransomware è una nuova minaccia di crypto locker rilevata dai ricercatori di infosec. La minaccia è unica e non è stata classificata come appartenente a nessuna delle famiglie di ransomware precedentemente stabilite. A prima vista, a RegretLocker mancano alcune delle presentazioni fantasiose che hanno altre minacce moderne di ransomware, come una richiesta di riscatto elaborata o un sito Web personalizzato ospitato sulla rete TOR per scopi di comunicazione. Tuttavia, scavare un po 'più a fondo rivela che RegretLocker Ransowmare è estremamente minaccioso perché è dotato di diverse funzionalità dannose avanzate e incredibilmente potenti.
Quando RegretLocker si infiltra in un computer mirato, procederà ad avviare il processo di crittografia. Quasi tutti i file della vittima verranno bloccati in modo efficace e non saranno più accessibili o utilizzabili in qualsiasi forma o forma. Ciò potrebbe avere conseguenze devastanti se i file crittografati avessero un forte valore personale o fossero per progetti legati al lavoro. La minaccia malware aggiungerà l'innocuo " .mouse " come nuova estensione alla fine dei nomi originali dei file interessati. Per quanto riguarda la richiesta di riscatto con le istruzioni degli hacker, viene rilasciata come file di testo denominato "HOW TO RESTORE FILES.TXT". La nota stessa è estremamente breve, semplicemente dicendo alle vittime di contattare l'indirizzo e-mail "petro@ctemplar.com" se desiderano decrittografare i propri dati.
Il RegretLocker Ransomware crittografa i dischi rigidi virtuali
Finora, niente di straordinario, ma ecco ciò che rende RegretLocker molto più spaventoso del normale ransomware: può colpire le macchine virtuali Windows e allo stesso tempo terminare i processi per ottenere l'accesso a file aperti che non verranno crittografati altrimenti.
Affinché una macchina virtuale Windows Hyper-V funzioni, è necessario un disco rigido virtuale archiviato in file VHD o VHDX. A seconda dei dati dell'immagine disco non elaborata contenuti in questi file, la loro dimensione può variare da diversi gigabyte fino a oltre un terabyte. Le minacce ransomware di solito evitano di prendere di mira file di dimensioni così grandi poiché ciò rallenterebbe enormemente il processo di crittografia. Tuttavia, il RegretLocker Ransomware è dotato di una soluzione alternativa. Questa particolare minaccia malware sfrutta tre funzioni dell'API di archiviazione virtuale di Windows: OpenVirtualDisk, AttachVirtualDisk e GetVirtualDiskPhysicalPath per montare i file del disco virtuale. Una volta montati, i file vengono considerati come un disco fisico in Windows e RegretLocker può procedere a crittografare ogni file separatamente, evitando così l'aumento del tempo di crittografia.
Un'altra tecnica avanzata e tutt'altro che comune che RegretLocker possiede come parte del suo arsenale è la capacità di terminare i servizi e i processi di Windows. L'obiettivo è rilasciare tutti i file aperti associati a questi processi in modo che possano essere crittografati. Per evitare di causare un errore di sistema critico o un arresto anomalo, RegretLocker dispone di un elenco interno di cinque processi che non verranno terminati: "vnc", "ssh", "mstsc", "System" e "svchost.exe".