Tổng hợp

RegretLocker: Chủng ransomware mới nhắm mục tiêu đến hệ thống máy ảo Windows

1 dòng ransomware mới có tên là RegretLocker đã được phát hiện sử dụng 1 số công dụng tăng lên để mã hóa ổ cứng ảo và đóng các tệp đang mở trên hệ thống đích để mã hóa dữ liệu bất hợp pháp.

Trên thực tiễn, RegretLocker được phát hiện lần trước nhất vào tháng 10 và được coi là 1 chủng ransomware dễ dàng về mặt vẻ ngoài bởi nó ko chứa thông điệp đòi tiền chuộc dông dài và đặc trưng chỉ sử dụng email để liên lạc với nạn nhân thay vì 1 trang web trả tiền Tor thông thường.

regretlocker chung ransomware moi nham muc tieu den he thong

RegretLocker ghi chú tiền chuộc

Sau lúc mã hóa thành công tệp, RegretLocker thêm phần mở mang .mouse nghe có vẻ vô hại vào tên tệp. Nhưng, trên thực tiễn, ẩn chứa bên trong nó là 1 chế độ mã hóa cực kỳ lạ mắt.

Tệp sau khi được mã hóa bởi RegretLocker

Tệp sau lúc được mã hóa bởi RegretLocker

Kỹ thuật mã hóa nguy khốn của RegretLocker

Khi thiết lập máy ảo Windows Hyper-V, đĩa cứng ảo cũng được tạo và lưu trữ trong tệp VHD hoặc VHDX.

Các tệp đĩa cứng ảo này chứa hình ảnh đĩa thô, bao gồm bảng phân vùng của đĩa ảo và các phân vùng gần giống như của đĩa thông thường và có thể có kích tấc từ vài GB tới vài TB.

Khi ransomware mã hóa dữ liệu trên máy tính, mã hóa 1 tệp béo sẽ ko hoạt động vì nó làm chậm vận tốc của toàn thể công đoạn. Trong 1 mẫu ransomware do MalwareHunterTeam phát hiện và được phân tách bởi kỹ sư bảo mật Advanced Intel Vitali Kremez, RegretLocker đã sử dụng 1 kỹ thuật mã hóa kha khá lạ mắt, gắn các tệp đĩa ảo để mã hóa riêng từng thành phần 1 cách mau chóng và đơn giản. Để tiến hành kỹ thuật này, RegretLocker sử dụng các hàm API lưu trữ ảo Windows OpenVirtualDisk, AttachVirtualDisk và GetVirtualDiskPhysicalPath để gắn kết đĩa ảo.

Phần mềm độc hại gắn một tệp VHD.

Phần mềm độc hại gắn 1 tệp VHD.

Khi ổ đĩa ảo đã được gắn kết dưới dạng ổ đĩa vật lý trong Windows, ransomware có thể mã hóa hoàn toàn từng ổ đĩa riêng biệt, giúp tăng vận tốc mã hóa lên rất nhiều.

Ngoài việc sử dụng API lưu trữ ảo, RegretLocker còn bị phát hiện lạm dụng API trình điều hành khởi động lại Windows để giết mổ các thứ tự hoặc dịch vụ của Windows khiến tệp mở trong công đoạn mã hóa.

Sử dụng API này, nếu tên thứ tự chứa ‘vnc’, ‘ssh’, ‘mstsc’, ‘Hệ thống’ hoặc ‘svchost.exe’, thì ransomware sẽ ko giết mổ công đoạn. Danh sách ngoại lệ này có thể được sử dụng để chặn lại các chương trình quan trọng hoặc các chương trình được sử dụng bởi tin tặc để truy cập vào hệ thống chỉ tiêu bị buộc ngừng ngoài ý muốn. Hiện tại, Windows Reset Manager API chỉ được sử dụng bởi 1 số ransomware bình thường như REvil (Sodinokibi), Ryuk, Conti, ThunderX / Ako, Medusa Locker, SamSam và LockerGoga.

Danh sách ngoại lệ của trình quản lý khởi động Windows

Danh sách ngoại lệ của trình điều hành khởi động Windows

RegretLocker vẫn chưa hoạt động hoặc rất bình thường tại thời khắc này, nhưng mà rõ ràng đây là 1 chủng ransomware nguy khốn cần được ngừa ngay hiện thời.


#RegretLocker #Chủng #ransomware #mới #nhắm #mục #tiêu #tới #hệ #thống #máy #ảo #Windows

Vik News

Lê Thị Thanh Loan

Cô giáo Lê Thị Thanh Loan tốt nghiệp trường Đại học Sư phạm Hà Nội. Hiện nay, Cô đang giảng dạy tại trường Trường tiểu học Văn Thủy

Trả lời

Email của bạn sẽ không được hiển thị công khai.

Back to top button