Característica del Ransomware RegretLocker permite cifrar unidades de disco duro virtuales

RegretLocker es un ransomware descubierto recientemente a mediados del mes de Octubre que demuestra una apariencia simple, debido que utiliza como medio para comunicarse con las víctimas un correo electrónico en lugar de un sitio web Tor para pagos, no utiliza notas de rescate largas y agrega de la extensión “.mouse” a los nombres de archivos cifrados. 

Nota de rescate de RegretLocker

A simple vista puede parecer un ransomware débil, pero detrás de esa apariencia hay varias características avanzadas que los investigadores han ido descubriendo poco a poco. Entre ellas la más reciente la capacidad de montar discos duros de las máquinas virtuales que se encuentren en el dispositivo afectado.


Es bien sabido que cuando se crea una máquina virtual con Windows Hyper-V, un disco duro virtual es creado y son almacenados con un formato de archivo VHD o VHDX. Estos archivos de disco duro virtuales contienen una imagen del disco, como la tabla de particiones de la unidad y sus particiones, y al igual que los disco duros normales, pueden tener un tamaño de unos pocos gigabytes hasta varios terabytes.


La reciente característica descubierta por los expertos, es que RegretLocker utiliza una técnica para montar los archivos de disco duros virtuales para poder cifrar cada uno individualmente. Para hacer esto, el Ransomware utiliza las API OpenVirtualDisk, AttachVirtualDisk y las funciones GetVirtualDiskPhysicalPath para montarlos.


Montado de un archivo VHD


En el código se puede observar la funcionalidad, en la que el ransomware está específicamente buscando por un VHD y montándolo una vez es detectado. Una vez que la unidad virtual es montada como un disco físico en Windows, el Ransomware procede a encriptarlo. Además, RegretLocket utiliza una característica utilizada por otros actores detrás de los Ransomware REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam, y LockerGoga. La cual consiste en utilizar la API Windows Restart Manager para terminar procesos o servicios de Windows que mantengan algún archivo abierto durante el cifrado. Según uno de los expertos, al utilizar esta API, si el nombre del proceso contiene “vnc”, “ssh”, “mstc”, “System,” o “svchost.exe”, el cifrado no podrá ser completado. Por ello, el actor malicioso detrás de RegretLocket agrego una lista de excepciones para prevenir que terminen los procesos de programas críticos o utilizados por el actor malicioso para acceder al sistema comprometido.

Lista de excepción para la API Windows Restart Manager


Aunque RegretLocker no está muy activo, al ser una nueva familia de Ransomware, nos mantendremos alertas a cualquier novedad y características de esta amenaza que esta demostrando ser más peligrosa por dentro, que por su apariencia simple.


COMENTARIOS

Nombre

Actualización,4,Actualizaciones,4,AD,1,Adobe,2,Adware,3,AgentTesla,1,android,32,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,13,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chile,1,Chips,1,Chrome,3,Ciberataque,5,Cibercrimen,143,Cibercriminales,1,Ciberdelincuencia,13,ciberseguridad,155,Cisco,4,Citrix,6,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,12,Database,2,Datos,2,DDoS,5,Debate,1,Deep Web,5,dlink,1,DNS,2,Domains,1,DoS,2,Ecommerce,3,elasticsearch,1,Email,3,Emotet,2,Empresas,114,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,4,exploit,8,Exploits,12,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,2,Fileless,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,Gootkit,1,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,2,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,9,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,Malware,49,Malwares,32,Maze,2,MDM,1,Messenger,1,MFA,1,Microsoft,38,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,17,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,21,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,17,Redes,30,redes sociales,12,Redhat,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Ryuk,1,Salt,1,Salud,2,SeguridadTI,3,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,23,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,3,Troyano,4,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,VNC,1,VPN,5,Vulnerabilidad,37,Vulnerabilidades,78,Web,8,WER,1,WhatsApp,5,wifi,5,Windows,23,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Característica del Ransomware RegretLocker permite cifrar unidades de disco duro virtuales
Característica del Ransomware RegretLocker permite cifrar unidades de disco duro virtuales
https://1.bp.blogspot.com/-KL7OHhA9WME/X6QUyf6wu2I/AAAAAAAACVA/fEdItiIqIxQnhAbNZB79zz6yN9DlSO0rACLcBGAsYHQ/w640-h320/RegretLocker%2Bcaracteristicas.jpg
https://1.bp.blogspot.com/-KL7OHhA9WME/X6QUyf6wu2I/AAAAAAAACVA/fEdItiIqIxQnhAbNZB79zz6yN9DlSO0rACLcBGAsYHQ/s72-w640-c-h320/RegretLocker%2Bcaracteristicas.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/11/caracteristica-del-ransomware.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/11/caracteristica-del-ransomware.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy