• INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

Ransomware RegretLocker dirigido a máquinas virtuales de Windows

11/4/2020

 
Imagen
Un nuevo ransomware llamado RegretLocker utiliza una variedad de funciones avanzadas que le permiten cifrar discos duros virtuales y cerrar archivos abiertos para cifrarlos.
RegretLocker fue descubierto en octubre y es un simple ransomware en términos de apariencia, ya que no contiene una nota de rescate larga y utiliza el correo electrónico para comunicarse en lugar de un sitio de pago Tor.
Imagen
Nota de rescate de RegretLocker
Fuente: BleepingComputer


Al cifrar archivos, agregará la extensión .mouse que suena inofensiva a los nombres de los archivos cifrados.

Imagen
Archivos cifrados de RegretLocker
Fuente: BleepingComputer


Sin embargo, lo que le falta en apariencia lo compensa con funciones avanzadas que no solemos ver en las infecciones de ransomware, como se describe a continuación.

RegretLocker monta discos duros virtuales
Al crear una máquina virtual Windows Hyper-V, se crea un disco duro virtual y se almacena en un archivo VHD o VHDX.

Estos archivos de disco duro virtual contienen una imagen de disco sin procesar, que incluye la tabla de particiones y las particiones de una unidad y, como las unidades de disco normales, pueden variar en tamaño desde unos pocos gigabytes hasta terabytes.

Cuando un ransomware cifra archivos en una computadora, no es eficiente cifrar un archivo grande ya que ralentiza la velocidad de todo el proceso de cifrado.

En una muestra del ransomware descubierto por MalwareHunterTeam y analizado por Vitali Kremez de Advanced Intel , RegretLocker utiliza una técnica interesante para montar un archivo de disco virtual para que cada uno de sus archivos se pueda cifrar individualmente.

Para hacer esto, RegretLocker utiliza las funciones de Windows Virtual Storage API OpenVirtualDisk , AttachVirtualDisk y GetVirtualDiskPhysicalPath para montar discos virtuales.
Imagen
Montaje de un archivo VHD

Como lo muestra un mensaje de depuración en el ransomware, está específicamente buscando VHD y montándolos cuando se detecta.
Imagen
Una vez que la unidad virtual está montada como un disco físico en Windows, el ransomware puede cifrar cada uno individualmente, lo que aumenta la velocidad de cifrado.

Se cree que el código utilizado por RegretLocker para montar un VHD fue tomado de una investigación publicada recientemente por el investigador de seguridad smelly__vx .

Además de utilizar la API de almacenamiento virtual, RegretLocker también utiliza la API del Administrador de reinicio de Windows para terminar procesos o servicios de Windows que mantienen un archivo abierto durante el cifrado.

Al usar esta API, Kremez le dijo a BleepingComputer que si el nombre de un proceso contiene ‘vnc’, ‘ssh’, ‘mstsc’, ‘System’ o ‘svchost.exe’, el ransomware no lo terminará. Es probable que esta lista de excepciones se utilice para evitar la finalización de programas críticos o los utilizados por el actor de la amenaza para acceder al sistema comprometido.
Imagen
Lista de excepciones del Administrador de reinicio de Windows
La función Windows Restart Manager solo la utilizan algunos ransomware como REvil (Sodinokibi ), Ryuk,  Conti ,  ThunderX / Ako ,  Medusa Locker ,  SamSam y  LockerGoga .

Vía: Bleepingcomputer

Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Imagen

    Archivos

    Febrero 2021
    Enero 2021
    Diciembre 2020
    Noviembre 2020
    Octubre 2020
    Septiembre 2020
    Agosto 2020
    Julio 2020
    Junio 2020
    Mayo 2020
    Abril 2020
    Marzo 2020
    Febrero 2020
    Enero 2020
    Diciembre 2019
    Noviembre 2019
    Octubre 2019
    Septiembre 2019
    Agosto 2019
    Julio 2019
    Junio 2019
    Mayo 2019
    Abril 2019
    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    5G
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG