原文链接：https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/
译者：知道创宇404实验室翻译组

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件，尽管该软件包没有多余的装饰，但仍可能严重破坏Windows计算机上的虚拟硬盘。

RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间，还可以关闭并加密用户当前打开的任何文件。Point3 Security副总裁ChloéMessdaghi将RegretLocker描述为“突破了加密虚拟文件的执行速度障碍的勒索软件”。“ RegretLocker实际上可以抢占虚拟磁盘，并且速度快得多。”

RegretLocker并未向受害者提供冗长的勒索软件说明（勒索软件的常见做法），要求受害者通过电子邮件地址与黑客联系。该电子邮件地址托管在CTemplar上，根据Silicon Angle的说法，CTemplar是位于冰岛的匿名电子邮件托管服务。

受害者收到的标题为“ HOW TO RESTORE FILES.TXT”的简短说明包含以下文本：

“你好朋友。

您的所有文件均已加密。

如果要还原它们，请给我们发送电子邮件：[email protected]”

截至周二，威胁情报团队只知道一个报告的野生样本，并且没有已知或报告的受害者。但是，由于这种勒索软件可以快速加密虚拟硬盘，这是勒索软件功能的潜在突破。

勒索软件通常会避免对计算机上找到的虚拟磁盘进行加密尝试，因为这些虚拟磁盘的容量很大，并且加密这些文件的时间只会延迟勒索软件的用途：进入并锁定勒索软件。

但是，RegretLocker对待虚拟磁盘的方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函数将虚拟磁盘挂载为Windows计算机上的物理磁盘。挂载虚拟磁盘后，RegretLocker会分别加密磁盘文件，从而加快了整个过程。

RegretLocker的虚拟硬盘安装功能可能来自安全研究人员odory vx最近在GitHub上发表的研究。MalwareHunterTeam研究人员还分析了RegretLocket的样本，发现它可以脱机运行，也可以在线运行。

此外，RegretLocker可以篡改Windows Restart Manager API来终止文件保持打开状态的活动程序或Windows服务。根据IT Pro Portal，其他勒索软件类型使用相同的API，包括Sodinokibi、Ryuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga，使用RegretLocker加密的文件使用.mouse扩展名。

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/1406/