RegretLocker Ransomware
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
| Bedrohungsstufe: | 100 % (Hoch) |
| Infizierte Computer: | 1 |
| Zum ersten Mal gesehen: | January 19, 2011 |
| Zuletzt gesehen: | November 11, 2020 |
| Betroffene Betriebssysteme: | Windows |
Die RegretLocker Ransomware ist eine neue Cryptolocker Bedrohung, die von Infosec-Forschern entdeckt wurde. Die Bedrohung ist einzigartig und wurde nicht als zu einer der zuvor etablierten Ransomware-Familien gehörend eingestuft. Auf den ersten Blick fehlen RegretLocker einige der ausgefallenen Präsentationen, die andere moderne Ransomware-Bedrohungen bieten, wie beispielsweise eine ausführliche Lösegeldnotiz oder eine maßgeschneiderte Website, die zu Kommunikationszwecken im TOR-Netzwerk gehostet wird. Ein bisschen tieferes Graben zeigt jedoch, dass RegretLocker Ransowmare extrem bedrohlich ist, da es mit mehreren fortschrittlichen und unglaublich wirksamen Schadensfunktionen ausgestattet ist.
Wenn RegretLocker einen Zielcomputer infiltriert, wird der Verschlüsselungsprozess gestartet. Fast alle Dateien des Opfers werden effektiv gesperrt und sind in keiner Form mehr zugänglich oder verwendbar. Dies könnte verheerende Folgen haben, wenn die verschlüsselten Dateien einen starken persönlichen Wert haben oder für arbeitsbezogene Projekte bestimmt sind. Durch die Malware-Bedrohung wird die harmlose " .mouse " als neue Erweiterung am Ende der ursprünglichen Namen der betroffenen Dateien angehängt. Der Lösegeldschein mit Anweisungen der Hacker wird als Textdatei mit dem Namen "WIE MAN FILES.TXT WIEDERHERSTELLT" bereitgestellt. Die Notiz selbst ist extrem kurz und fordert die Opfer einfach auf, sich an die E-Mail-Adresse 'petro@ctemplar.com' zu wenden, wenn sie ihre Daten entschlüsseln möchten.
Die RegretLocker Ransomware verschlüsselt virtuelle Festplatten
Bisher nichts Außergewöhnliches, aber hier ist, was RegretLocker weitaus beängstigender macht als normale Ransomware: Es kann auf virtuelle Windows-Maschinen abzielen und gleichzeitig Prozesse beenden, um Zugriff auf geöffnete Dateien zu erhalten, die sonst nicht verschlüsselt werden.
Damit eine virtuelle Windows Hyper-V-Maschine funktioniert, benötigt sie eine virtuelle Festplatte, die entweder in VHD- oder VHDX-Dateien gespeichert ist. Abhängig von den in diesen Dateien enthaltenen Raw-Disk-Image-Daten kann ihre Größe von mehreren Gigabyte bis zu über einem Terabyte variieren. Ransomware-Bedrohungen vermeiden normalerweise das Targeting so großer Dateien, da dies den Verschlüsselungsprozess erheblich verlangsamen würde. Die RegretLocker Ransomware ist jedoch mit einer Problemumgehung ausgestattet. Diese besondere Malware-Bedrohung nutzt drei Windows Virtual API-API-Funktionen - OpenVirtualDisk, AttachVirtualDisk und GetVirtualDiskPhysicalPath, um die Dateien der virtuellen Festplatte bereitzustellen. Nach dem Mounten werden die Dateien in Windows als physische Festplatte betrachtet, und RegretLocker kann fortfahren, jede Datei separat zu verschlüsseln, wodurch die Verlängerung der Verschlüsselungszeit vermieden wird.
Eine weitere fortschrittliche und alles andere als übliche Technik, über die RegretLocker als Teil seines Arsenals verfügt, ist die Möglichkeit, Windows-Dienste und -Prozesse zu beenden. Ziel ist es, alle offenen Dateien, die diesen Prozessen zugeordnet sind, freizugeben, damit sie verschlüsselt werden können. Um einen kritischen Systemfehler oder Absturz zu vermeiden, verfügt RegretLocker über eine interne Liste von fünf Prozessen, die nicht beendet werden - "vnc", "ssh", "mstsc", "System" und "svchost.exe".
