Ransomware RegretLocker dirigido a máquinas virtuales de Windows

  • 0 Respuestas
  • 252 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1491
  • Actividad:
    100%
  • Country: gt
  • Reputación 17
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil

Un nuevo ransomware llamado RegretLocker utiliza una variedad de funciones avanzadas que le permiten cifrar discos duros virtuales y cerrar archivos abiertos para cifrarlos.

RegretLocker fue descubierto en octubre y es un simple ransomware en términos de apariencia, ya que no contiene una nota de rescate larga y utiliza el correo electrónico para comunicarse en lugar de un sitio de pago Tor.

Nota de rescate de RegretLocker
Fuente: BleepingComputer

Al cifrar archivos, agregará la extensión .mouse que suena inofensiva a los nombres de los archivos cifrados.


Archivos cifrados de RegretLocker
Fuente: BleepingComputer

Sin embargo, lo que le falta en apariencia lo compensa con funciones avanzadas que no solemos ver en las infecciones de ransomware, como se describe a continuación.

RegretLocker monta discos duros virtuales

Al crear una máquina virtual Windows Hyper-V, se crea un disco duro virtual y se almacena en un archivo VHD o VHDX.

Estos archivos de disco duro virtual contienen una imagen de disco sin procesar, que incluye la tabla de particiones y las particiones de una unidad y, como las unidades de disco normales, pueden variar en tamaño desde unos pocos gigabytes hasta terabytes.

Cuando un ransomware cifra archivos en una computadora, no es eficiente cifrar un archivo grande ya que ralentiza la velocidad de todo el proceso de cifrado.

En una muestra del ransomware descubierto por MalwareHunterTeam y analizado por Vitali Kremez de Advanced Intel , RegretLocker utiliza una técnica interesante para montar un archivo de disco virtual para que cada uno de sus archivos se pueda cifrar individualmente.

Para hacer esto, RegretLocker utiliza las funciones de Windows Virtual Storage API OpenVirtualDisk , AttachVirtualDisk y GetVirtualDiskPhysicalPath para montar discos virtuales.

Montaje de un archivo VHD

Como lo muestra un mensaje de depuración en el ransomware, está específicamente buscando VHD y montándolos cuando se detecta.


Una vez que la unidad virtual está montada como un disco físico en Windows, el ransomware puede cifrar cada uno individualmente, lo que aumenta la velocidad de cifrado.

Se cree que el código utilizado por RegretLocker para montar un VHD fue tomado de una investigación publicada recientemente por el investigador de seguridad smelly__vx .

Además de utilizar la API de almacenamiento virtual, RegretLocker también utiliza la API del Administrador de reinicio de Windows para terminar procesos o servicios de Windows que mantienen un archivo abierto durante el cifrado.

Al usar esta API, Kremez le dijo a BleepingComputer que si el nombre de un proceso contiene 'vnc', 'ssh', 'mstsc', 'System' o 'svchost.exe', el ransomware no lo terminará. Es probable que esta lista de excepciones se utilice para evitar la finalización de programas críticos o los utilizados por el actor de la amenaza para acceder al sistema comprometido.

Lista de excepciones del Administrador de reinicio de Windows

La función Windows Restart Manager solo la utilizan algunos ransomware como REvil (Sodinokibi ), Ryuk,  Conti ,  ThunderX / Ako ,  Medusa Locker ,  SamSam y  LockerGoga .

Vía: Bleepingcomputer

 

Adobe CC en Windows 10: Vulnerabilidad Time-of-check Time-of-use (TOCTTOU)

Iniciado por Dragora

Respuestas: 0
Vistas: 534
Último mensaje Marzo 26, 2020, 02:08:42 am
por Dragora
Kali Linux para Windows ahora disponible para descargar desde la Microsoft Store

Iniciado por graphixx

Respuestas: 0
Vistas: 1993
Último mensaje Marzo 06, 2018, 09:47:50 pm
por graphixx
Microsoft lanza herramienta open source para compilar distros Linux para Windows

Iniciado por graphixx

Respuestas: 0
Vistas: 2120
Último mensaje Marzo 29, 2018, 12:10:03 pm
por graphixx
WSL2 preparado para la adopción masiva, disponible para todos en Windows 10 v200

Iniciado por Dragora

Respuestas: 0
Vistas: 403
Último mensaje Marzo 17, 2020, 04:10:43 pm
por Dragora
Microsoft lanzará un parche obligatorio para Windows 7 para actualizaciones

Iniciado por AXCESS

Respuestas: 0
Vistas: 1099
Último mensaje Febrero 18, 2019, 02:45:30 pm
por AXCESS