RegretLocker Ransomware
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Dreigingsniveau: | 100 % (Hoog) |
| Geïnfecteerde computers: | 1 |
| Eerst gezien: | January 19, 2011 |
| Laatst gezien: | November 11, 2020 |
| Beïnvloede besturingssystemen: | Windows |
De RegretLocker Ransomware is een nieuwe crypto-locker-bedreiging die is gedetecteerd door infosec-onderzoekers. De dreiging is uniek en is niet geclassificeerd als behorend tot een van de eerder bestaande ransomwarefamilies. Op het eerste gezicht mist RegretLocker enkele van de mooie presentaties die andere moderne ransomwarebedreigingen hebben, zoals een uitgebreide losgeldbrief of een op maat gemaakte website die voor communicatiedoeleinden op het TOR-netwerk wordt gehost. Een beetje dieper graven onthult echter dat RegretLocker Ransowmare extreem bedreigend is, omdat het is uitgerust met verschillende geavanceerde en ongelooflijk krachtige schadelijke functies.
Wanneer RegretLocker een beoogde computer infiltreert, zal het doorgaan met het starten van het coderingsproces. Bijna alle bestanden van het slachtoffer worden effectief vergrendeld en zijn niet langer toegankelijk of bruikbaar in welke vorm dan ook. Dit kan verwoestende gevolgen hebben als de versleutelde bestanden een sterke persoonlijke waarde hadden of voor werkgerelateerde projecten waren. De malwarebedreiging voegt de onschadelijke ' .mouse ' als nieuwe extensie toe aan het einde van de oorspronkelijke namen van de betrokken bestanden. Wat betreft het losgeldbriefje met instructies van de hackers, het wordt gedropt als een tekstbestand met de naam 'HOW TO RESTORE FILES.TXT.' De notitie zelf is extreem kort en vertelt de slachtoffers eenvoudigweg contact op te nemen met het e-mailadres 'petro@ctemplar.com' als ze hun gegevens willen ontsleutelen.
De RegretLocker Ransomware versleutelt virtuele harde schijven
Tot nu toe niets bijzonders, maar dit is wat RegretLocker veel enger maakt dan normale ransomware - het kan zich richten op virtuele Windows-machines en tegelijkertijd processen beëindigen om toegang te krijgen tot open bestanden die anders niet gecodeerd worden.
Om een virtuele Windows Hyper-V-machine te laten werken, heeft deze een virtuele harde schijf nodig die is opgeslagen in VHD- of VHDX-bestanden. Afhankelijk van de onbewerkte schijfimage-gegevens in deze bestanden, kan hun grootte variëren van enkele gigabytes tot meer dan een terabyte. Ransomwarebedreigingen richten zich meestal niet op zulke grote bestanden, omdat dit het coderingsproces enorm zou vertragen. De RegretLocker Ransomware is echter uitgerust met een tijdelijke oplossing. Deze specifieke malwarebedreiging maakt gebruik van drie Windows Virtual Storage API-functies: OpenVirtualDisk, AttachVirtualDisk en GetVirtualDiskPhysicalPath om de virtuele schijfbestanden te mounten. Eenmaal aangekoppeld, worden de bestanden in Windows beschouwd als een fysieke schijf en kan RegretLocker doorgaan met het afzonderlijk coderen van elk bestand, waardoor de toename van de coderingstijd wordt vermeden.
Een andere geavanceerde en verre van gebruikelijke techniek die RegretLocker bezit als onderdeel van zijn arsenaal, is de mogelijkheid om Windows-services en -processen te beëindigen. Het doel is om alle geopende bestanden die aan deze processen zijn gekoppeld vrij te geven, zodat ze kunnen worden versleuteld. Om een kritieke systeemfout of -crash te voorkomen, heeft RegretLocker een interne lijst met vijf processen die niet worden beëindigd - 'vnc', 'ssh', 'mstsc', 'System' en 'svchost.exe'.
