Un nouveau ransomware

Un nouveau ransomware

Le plus terrible des "ransomewares" arrive ,il est capable de crypter les disques durs virtuels Windows

Les chercheurs en cybersécurité ont découvert le mois dernier un nouveau ransomware appelé RegretLocker qui, malgré un package sans fioritures, peut endommager gravement les disques durs virtuels sur les machines Windows.

un ransomware très malin

Grâce à une astuce intelligente, « RegretLocker » peut contourner les temps de cryptage souvent longs requis lors du cryptage des disques durs virtuels d’une machine, et il peut également fermer tous les fichiers actuellement ouverts par un utilisateur pour ensuite crypter ces fichiers.  Chloé Messdaghi, vice-présidente de la stratégie chez « Point3 Security » , a décrit « RegretLocker »  comme ayant «franchi la barrière de la vitesse d’exécution pour le chiffrement [des] fichiers virtuels».

Malgré la machinerie de pointe du ransomware, son apparence reste assez simple.

RegretLocker n’offre pas à ses victimes une longue note sur les ransomwares – une pratique courante pour de nombreux types de ransomwares aujourd’hui – et demande aux victimes de contacter les acteurs de la menace via une adresse e-mail. Cette adresse e-mail est hébergée sur CTemplar, qui, selon Silicon Angle , est un service d’hébergement de messagerie anonyme basé en Islande.

La brève note que les victimes reçoivent, intitulée «COMMENT RESTAURER LES FICHIERS.TXT» contient le texte suivant:

webmaster67 spécialiste sécurité

« Salut l’ami.

Tous vos fichiers ont été cryptés.

Si vous souhaitez les restaurer,

veuillez nous envoyer un e-mail: XXXXX@ctemplar.com »

Cette semaine les équipes de renseignement sur les menaces ne connaissait qu’un seul échantillon signalé enroute pour on se sait pas bien ou. Cependant, ce ransomware doit toujours être surveillé en raison de sa capacité à chiffrer rapidement les disques durs virtuels, une percée potentielle dans les capacités des ransomwares. Cette percée pourrait très bien aboutir à crypter des fichiers déposés dans un cloud privé ou même passer d’un serveur applicatif à un autre, sans crée d’alerte.

Souvent, les ransomwares évitent toute tentative de chiffrement des disques virtuels trouvés sur les machines parce que ces disques virtuels peuvent être énormes en taille, et le temps de chiffrer ces fichiers retarderait simplement l’objectif du ransomware: entrer dans une machine et la verrouiller.

« RegretLocker » traite cependant les disques virtuels différemment. Il utilise les fonctions OpenVirtualDisk, AttachVirtualDisk et GetVirtualDiskPhysicalPath pour monter des disques virtuels en tant que disques physiques sur des machines Windows. Une fois le disque virtuel monté, « RegretLocker » crypte les fichiers du disque individuellement, ce qui accélère le processus global.

Les capacités de montage du disque dur virtuel de « RegretLocker » provient potentiellement d’une recherche récemment publiée sur « GitHub » par le chercheur en sécurité smelly__vx . Les chercheurs de MalwareHunterTeam ont également analysé un échantillon de « RegretLocket « et ont constaté qu’il pouvait fonctionner aussi bien hors ligne qu’en ligne .

En outre, « RegretLocker » peut altérer l’API « Windows Restart » Manager pour mettre fin aux programmes actifs ou aux services Windows qui maintiennent les fichiers ouverts. Selon IT Pro Portal , la même API est utilisée par d’autres types de ransomwares, notamment Sodinokibi , Ryuk , Conti, Medusa Locker, ThunderX, SamSam et LockerGoga. Les fichiers chiffrés avec « RegretLocker » utilisent l’extension XXXX.mouse.

Webmaster67 rappelle à l’ensemble de ces lecteurs que 80% des adresse « protonmail » sont utiliser à des fins complètement illégal.