網絡安全研究人員上個月發現了一種名為RegretLocker的新型勒索軟件，盡管它的軟件包很簡單，但卻能對Windows電腦上的虛擬硬盤造成嚴重破壞。

研究人員發現RegretLocker可以通過一個巧妙的方法，繞過加密虛擬硬盤時通常需要的長時間加密，并且可以關閉用戶當前打開的任何文件，然后對這些文件進行加密。

[[399803]]

Point3 Security公司戰略副總裁克洛伊·梅薩吉(Chloe Messdaghi)稱：

RegretLocker并沒有向受害者提供冗長的勒索軟件通知，這是當今許多勒索軟件的常見做法，它還要求受害者通過電子郵件地址聯系攻擊者。這個電子郵件地址托管在CTemplar上，根據Silicon Angle的說法，CTemplar是一家位于冰島的匿名電子郵件托管服務公司。

受害者收到的標題為“ HOW TO RESTORE FILES.TXT”的簡短說明包含以下內容：

截至周二，我們的威脅情報小組只發現一個野外樣本，沒有已知或報告的受害者。然而，這種勒索軟件仍然應該受到關注，因為它能夠快速加密虛擬硬盤，這是勒索軟件功能的一個潛在突破。

通常情況下，勒索軟件會避免對設備上的虛擬磁盤進行加密，因為這些虛擬磁盤可能非常大，加密這些文件的時間只會延遲勒索軟件的目的——進入設備并鎖定它。

不過，RegretLocker對虛擬磁盤的處理方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函數將虛擬磁盤作為物理磁盤掛載到Windows設備上。一旦虛擬磁盤被掛載，RegretLocker就會對磁盤上的文件進行單獨加密，從而加快整個進程。

RegretLocker的虛擬硬盤安裝功能可能來自安全研究人員odory__vx最近在GitHub上發表的研究。 MalwareHunterTeam的研究人員還分析了RegretLocket的樣本，發現它可以脫機運行也可以在線運行。

此外，RegretLocker可以篡改Windows Restart Manager API，以終止活動程序或保持文件打開的Windows服務。根據IT Pro Portal，其他類型的勒索軟件也使用相同的API，包括Sodinokibi、Ryuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga，使用RegretLocker加密的文件使用.mouse擴展名。

本文翻譯自：

https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/