RegretLocker Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
Nível da Ameaça: | 100 % (Alto) |
Computadores infectados: | 1 |
Visto pela Primeira Vez: | January 19, 2011 |
Visto pela Última Vez: | November 11, 2020 |
SO (s) Afetados: | Windows |
O RegretLocker Ransomware é uma nova ameaça de bloqueio de dados detectada pelos pesquisadores da infosec. A ameaça é única e não foi classificada como pertencente a nenhuma das famílias de ransomware estabelecidas anteriormente. À primeira vista, o RegretLocker carece de algumas das apresentações extravagantes que outras ameaças de ransomware modernas têm, como uma nota de resgate elaborada ou um site personalizado hospedado na rede TOR para fins de comunicação. No entanto, cavar um pouco mais fundo revela que o RegretLocker Ransowmare é extremamente ameaçador porque é equipado com vários recursos de dano avançados e incrivelmente potentes.
Quando o RegretLocker se infiltra em um computador de destino, ele prossegue para iniciar o processo de criptografia. Quase todos os arquivos da vítima serão bloqueados de forma eficaz e não estarão mais acessíveis ou utilizáveis de qualquer forma ou formato. Isso poderia ter consequências devastadoras se os arquivos criptografados tivessem um forte valor pessoal ou fossem para projetos relacionados ao trabalho. A ameaça de malware anexará o inócuo ' .mouse ' como uma nova extensão no final dos nomes originais dos arquivos afetados. Quanto à nota de resgate com instruções dos hackers, ela foi descartada como um arquivo de texto chamado 'COMO RESTAURAR ARQUIVOS.TXT.' A nota em si é extremamente curta, simplesmente dizendo às vítimas para entrarem em contato com o endereço de e-mail 'petro@ctemplar.com' se quiserem descriptografar seus dados.
O RegretLocker Ransomware Criptografa Discos Rígidos Virtuais
Até agora, nada fora do comum, mas aqui está o que torna o RegretLocker muito mais assustador do que o ransomware normal - ele pode ter como alvo máquinas virtuais do Windows ao mesmo tempo que encerra processos para obter acesso a arquivos abertos que não seriam criptografados de outra forma.
Para que uma máquina virtual Windows Hyper-V funcione, ela precisa de um disco rígido virtual armazenado em arquivos VHD ou VHDX. Dependendo dos dados de imagem de disco brutos contidos nesses arquivos, seu tamanho pode variar de vários gigabytes até mais de um terabyte. As ameaças de ransomware geralmente evitam ter como alvo arquivos grandes, pois isso tornaria o processo de criptografia muito lento. O RegretLocker Ransomware é equipado com uma solução alternativa, no entanto. Esta ameaça de malware em particular explora três funções da API do Windows Virtual Storage - OpenVirtualDisk, AttachVirtualDisk e GetVirtualDiskPhysicalPath para montar os arquivos do disco virtual. Uma vez montados, os arquivos são considerados como um disco físico no Windows, e o RegretLocker pode continuar a criptografar cada arquivo separadamente, evitando assim o aumento do tempo de criptografia.
Outra técnica avançada e longe de ser comum que o RegretLocker possui como parte de seu arsenal é a capacidade de encerrar serviços e processos do Windows. O objetivo é liberar todos os arquivos abertos associados a esses processos para que possam ser criptografados. Para evitar causar um erro crítico do sistema ou travamento, o RegretLocker tem uma lista interna de cinco processos que não serão encerrados - 'vnc,' 'ssh,' 'mstsc,' 'Sistema' e 'svchost.exe'.