RegretLocker Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Niveau de menace: | 100 % (Haute) |
| Ordinateurs infectés : | 1 |
| Vu la première fois: | January 19, 2011 |
| Vu pour la dernière fois : | November 11, 2020 |
| Systèmes d'exploitation concernés: | Windows |
Le RegretLocker Ransomware est une nouvelle menace de casier crypto détectée par les chercheurs infosec. La menace est unique et n'a été classée comme appartenant à aucune des familles de ransomwares précédemment établies. À première vue, RegretLocker ne dispose pas de certaines des présentations fantaisistes des autres menaces de ransomwares modernes, telles qu'une note de rançon élaborée ou un site Web personnalisé hébergé sur le réseau TOR à des fins de communication. Cependant, creuser un peu plus profondément révèle que RegretLocker Ransowmare est extrêmement menaçant car il est équipé de plusieurs fonctionnalités dommageables avancées et incroyablement puissantes.
Lorsque RegretLocker s'infiltre dans un ordinateur ciblé, il procède au lancement de son processus de cryptage. Presque tous les fichiers de la victime seront verrouillés efficacement et ne seront plus accessibles ou utilisables sous aucune forme ou forme. Cela pourrait avoir des conséquences dévastatrices si les fichiers cryptés avaient une forte valeur personnelle ou étaient destinés à des projets liés au travail. La menace du logiciel malveillant ajoutera le « .mouse » inoffensif en tant que nouvelle extension à la fin des noms d'origine des fichiers affectés. Quant à la note de rançon avec les instructions des pirates, elle est déposée sous forme de fichier texte nommé «COMMENT RESTAURER LES FILES.TXT». La note elle-même est extrêmement courte, disant simplement aux victimes de contacter l'adresse e-mail «petro@ctemplar.com» si elles veulent décrypter leurs données.
Le ransomware RegretLocker crypte les disques durs virtuels
Jusqu'à présent, rien d'extraordinaire, mais voici ce qui rend RegretLocker beaucoup plus effrayant que le ransomware normal: il peut cibler les machines virtuelles Windows tout en mettant fin aux processus pour accéder à des fichiers ouverts qui ne seront pas cryptés autrement.
Pour qu'une machine virtuelle Windows Hyper-V fonctionne, elle a besoin d'un disque dur virtuel qui est stocké dans des fichiers VHD ou VHDX. En fonction des données d'image disque brutes contenues dans ces fichiers, leur taille peut varier de plusieurs gigaoctets à plus d'un téraoctet. Les menaces de ransomware évitent généralement de cibler des fichiers aussi volumineux, car cela ralentirait considérablement le processus de cryptage. Le RegretLocker Ransomware est cependant équipé d'une solution de contournement. Cette menace malveillante particulière exploite trois fonctions de l'API Windows Virtual Storage - OpenVirtualDisk, AttachVirtualDisk et GetVirtualDiskPhysicalPath pour monter les fichiers du disque virtuel. Une fois montés, les fichiers sont considérés comme un disque physique sous Windows, et RegretLocker peut procéder au chiffrement de chaque fichier séparément, évitant ainsi l'augmentation du temps de chiffrement.
Une autre technique avancée et loin d'être courante que RegretLocker possède dans le cadre de son arsenal est la possibilité de mettre fin aux services et processus Windows. L'objectif est de libérer tous les fichiers ouverts associés à ces processus afin qu'ils puissent être chiffrés. Pour éviter de provoquer une erreur système critique ou un plantage, RegretLocker dispose d'une liste interne de cinq processus qui ne seront pas arrêtés - «vnc», «ssh», «mstsc», «System» et «svchost.exe».
