RegretLocker ransomware
Cuadro de Mando de Amenazas
Cuadro de mando de amenazas EnigmaSoft
EnigmaSoft Threat Scorecards son informes de evaluación de diferentes amenazas de malware que nuestro equipo de investigación ha recopilado y analizado. Los cuadros de mando de amenazas de EnigmaSoft evalúan y clasifican las amenazas utilizando varias métricas que incluyen factores de riesgo reales y potenciales, tendencias, frecuencia, prevalencia y persistencia. Los cuadros de mando de amenazas de EnigmaSoft se actualizan regularmente en función de nuestros datos y métricas de investigación y son útiles para una amplia gama de usuarios de computadoras, desde usuarios finales que buscan soluciones para eliminar malware de sus sistemas hasta expertos en seguridad que analizan amenazas.
EnigmaSoft Threat Scorecards muestra una variedad de información útil, que incluye:
Clasificación: la clasificación de una amenaza en particular en la base de datos de amenazas de EnigmaSoft.
Nivel de severidad: El nivel de severidad determinado de un objeto, representado numéricamente, basado en nuestro proceso de modelado de riesgo e investigación, como se explica en nuestros Criterios de evaluación de amenazas .
Computadoras infectadas: la cantidad de casos confirmados y sospechosos de una amenaza particular detectada en computadoras infectadas según lo informado por SpyHunter.
Consulte también Criterios de evaluación de amenazas .
| Nivel de amenaza: | 100 % (Elevado) |
| Computadoras infectadas: | 1 |
| Visto por primera vez: | January 19, 2011 |
| Ultima vez visto: | November 11, 2020 |
| SO(s) afectados: | Windows |
RegretLocker Ransomware es una nueva amenaza de bloqueo de criptografía detectada por investigadores de seguridad de información. La amenaza es única y no se ha clasificado como perteneciente a ninguna de las familias de ransomware establecidas anteriormente. A primera vista, RegretLocker carece de algunas de las presentaciones elegantes que tienen otras amenazas modernas de ransomware, como una nota de rescate elaborada o un sitio web personalizado alojado en la red TOR con fines de comunicación. Sin embargo, profundizar un poco más revela que RegretLocker Ransowmare es extremadamente amenazador porque está equipado con varias características dañinas avanzadas e increíblemente potentes.
Cuando RegretLocker se infiltra en una computadora de destino, procederá a iniciar su proceso de cifrado. Casi todos los archivos de la víctima se bloquearán de forma eficaz y ya no se podrá acceder a ellos ni se podrán utilizar de ninguna forma. Esto podría tener consecuencias devastadoras si los archivos cifrados tuvieran un gran valor personal o fueran para proyectos relacionados con el trabajo. La amenaza de malware agregará el inocuo ' .mouse ' como una nueva extensión al final de los nombres originales de los archivos afectados. En cuanto a la nota de rescate con instrucciones de los piratas informáticos, se coloca como un archivo de texto llamado 'CÓMO RESTAURAR ARCHIVOS.TXT'. La nota en sí es extremadamente corta, simplemente le dice a las víctimas que se pongan en contacto con la dirección de correo electrónico 'petro@ctemplar.com' si quieren descifrar sus datos.
The RegretLocker Ransomware cifra los discos duros virtuales
Hasta ahora, nada fuera de lo común, pero esto es lo que hace que RegretLocker sea mucho más aterrador que el ransomware normal: puede apuntar a las máquinas virtuales de Windows y al mismo tiempo finalizar los procesos para obtener acceso a archivos abiertos que de otra manera no se cifrarán.
Para que funcione una máquina virtual Windows Hyper-V, necesita un disco duro virtual almacenado en archivos VHD o VHDX. Dependiendo de los datos de imagen de disco sin procesar contenidos en estos archivos, su tamaño podría variar desde varios gigabytes hasta más de un terabyte. Las amenazas de ransomware generalmente evitan apuntar a archivos tan grandes, ya que esto ralentizaría enormemente el proceso de cifrado. Sin embargo, el RegretLocker Ransomware está equipado con una solución alternativa. Esta amenaza de malware en particular explota tres funciones de la API de almacenamiento virtual de Windows: OpenVirtualDisk, AttachVirtualDisk y GetVirtualDiskPhysicalPath para montar los archivos del disco virtual. Una vez montados, los archivos se consideran como un disco físico en Windows, y RegretLocker puede proceder a cifrar cada archivo por separado, evitando así el aumento del tiempo de cifrado.
Otra técnica avanzada y lejos de ser común que posee RegretLocker como parte de su arsenal es la capacidad de terminar los servicios y procesos de Windows. El objetivo es liberar los archivos abiertos asociados con estos procesos para que puedan cifrarse. Para evitar causar un error crítico del sistema o un bloqueo, RegretLocker tiene una lista interna de cinco procesos que no se cancelarán: 'vnc', 'ssh,' 'mstsc,' 'System' y 'svchost.exe'.
