Il nuovo ransomware RegretLocker prende di mira le macchine virtuali Windows

RegretLocker è stato scoperto a ottobre ed è un semplice ransomware in termini di aspetto in quanto non contiene una richiesta di riscatto prolissa e utilizza la posta elettronica per la comunicazione piuttosto che un sito di pagamento Tor.

Durante la crittografia dei file, verrà aggiunta l’estensione .mouse dal suono innocuo ai nomi dei file crittografati.

Ciò che manca in apparenza, tuttavia, compensa le funzionalità avanzate che di solito non vediamo nelle infezioni da ransomware, come descritto di seguito.

RegretLocker monta dischi rigidi virtuali

Quando si crea una macchina virtuale Windows Hyper-V, viene creato un disco rigido virtuale e archiviato in un file VHD o VHDX.

Questi file del disco rigido virtuale contengono un’immagine del disco non elaborata, inclusa la tabella delle partizioni e le partizioni di un’unità e, come le normali unità disco, possono variare da pochi gigabyte a terabyte.

Quando un ransomware crittografa i file su un computer, non è efficiente crittografare un file di grandi dimensioni poiché rallenta la velocità dell’intero processo di crittografia.

In un campione del ransomware scoperto da MalwareHunterTeam e analizzato da Vitali Kremez di Advanced Intel, RegretLocker utilizza un’interessante tecnica di montaggio di un file disco virtuale in modo che ciascuno dei suoi file possa essere crittografato individualmente.

Per fare questo, RegretLocker utilizza Windows Virtual Storage API OpenVirtualDiskAttachVirtualDisk, e GetVirtualDiskPhysicalPath come funzioni per montare dischi virtuali.

Come mostrato da un messaggio di debug nel ransomware, sta cercando specificamente VHD e li monta quando viene rilevato.

parse_files() | Found virtual drive: %ws in path: %s

Una volta che l’unità virtuale è montata come disco fisico in Windows, il ransomware può crittografarli singolarmente, aumentando la velocità della crittografia.

Si ritiene che il codice utilizzato da RegretLocker per montare un VHD sia stato preso da una ricerca pubblicata di recente dal ricercatore di sicurezza smelly__vx.

Oltre a utilizzare l’API di archiviazione virtuale, RegretLocker utilizza anche l’API di Windows Restart Manager per terminare i processi o i servizi di Windows che mantengono un file aperto durante la crittografia.

Quando si utilizza questa API, Kremez ha detto che se il nome di un processo contiene “vnc”, “ssh”, “mstsc”, “System” o “svchost.exe”, il ransomware non lo terminerà. Questo elenco di eccezioni viene probabilmente utilizzato per impedire la chiusura di programmi critici o di quelli utilizzati dall’hacker per accedere al sistema compromesso.

La funzione Windows Restart Manager viene utilizzata solo da pochi ransomware come REvil (Sodinokibi), Ryuk,  Conti,  ThunderX / Ako,  Medusa Locker,  SamSam e  LockerGoga.

RegretLocker non è molto attivo ancora, ma è una nuova famiglia che dobbiamo tenere d’occhio.