网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件，尽管它的软件包很简单，但却能对Windows电脑上的虚拟硬盘造成严重破坏。

研究人员发现RegretLocker可以通过一个巧妙的方法，绕过加密虚拟硬盘时通常需要的长时间加密，并且可以关闭用户当前打开的任何文件，然后对这些文件进行加密。

Point3 Security公司战略副总裁克洛伊·梅萨吉(Chloe Messdaghi)称：

“RegretLocker突破了虚拟文件加密的执行速度障碍，它实际上会捕获虚拟磁盘，而且执行速度比以前攻击虚拟文件的勒索软件快得多。”

RegretLocker并没有向受害者提供冗长的勒索软件通知，这是当今许多勒索软件的常见做法，它还要求受害者通过电子邮件地址联系攻击者。这个电子邮件地址托管在CTemplar上，根据Silicon Angle的说法，CTemplar是一家位于冰岛的匿名电子邮件托管服务公司。

受害者收到的标题为“ HOW TO RESTORE FILES.TXT”的简短说明包含以下内容：

 “你好，朋友，你所有的文件都被加密了。如果你想恢复它们，请给我们发邮件:[email protected]”

截至周二，我们的威胁情报小组只发现一个野外样本，没有已知或报告的受害者。然而，这种勒索软件仍然应该受到关注，因为它能够快速加密虚拟硬盘，这是勒索软件功能的一个潜在突破。

通常情况下，勒索软件会避免对设备上的虚拟磁盘进行加密，因为这些虚拟磁盘可能非常大，加密这些文件的时间只会延迟勒索软件的目的——进入设备并锁定它。

不过，RegretLocker对虚拟磁盘的处理方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函数将虚拟磁盘作为物理磁盘挂载到Windows设备上。一旦虚拟磁盘被挂载，RegretLocker就会对磁盘上的文件进行单独加密，从而加快整个进程。

RegretLocker的虚拟硬盘安装功能可能来自安全研究人员odory__vx最近在GitHub上发表的研究。 MalwareHunterTeam的研究人员还分析了RegretLocket的样本，发现它可以脱机运行也可以在线运行。

此外，RegretLocker可以篡改Windows Restart Manager API，以终止活动程序或保持文件打开的Windows服务。根据IT Pro Portal，其他类型的勒索软件也使用相同的API，包括Sodinokibi、Ryuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga，使用RegretLocker加密的文件使用.mouse扩展名。

本文翻译自：https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/如若转载，请注明原文地址：