Ransomwarevariant RegretLocker richt zich op virtuele machines

Abonneer je gratis op Techzine!

De nieuwe ransomwarevariant RegretLocker gebruikt geavanceerde technieken om virtuele machines (vm’s) en open files te versleutelen en op die manier te gijzelen. Dit zegt security-nieuwssite Bleeping Computer.

De ontdekte ransomware richt zich speciaal op Windows virtuele machines. Concreet gebruikt de ransomware de Windows Virtual Storage API OpenVirtualDisk-, de AttachVirtualDisk- en de GetVirtualDiskPhysicalPath-functionaliteit om virtuele disks op te zetten voor encryptie. Dit moet het versleutelingsproces van de malware versnellen. Ook gebruikt de ransomware de Windows Restart Manager API om Windows-processen of -diensten te stoppen die bestanden open laten staan tijdens het versleutelen.

Afhandeling via e-mail

De overige technologie die RegretLocker gebruikt om slachtoffers te infecteren, is meer standaard. Slachtoffers krijgen vervolgens een ransom note met een e-mailadres waarmee ze contact op kunnen nemen voor de verdere ‘afhandeling’. Dit e-mailadres is gehost op CTemplar, een anonieme e-mailhostingdienst in IJsland.

Continue doorontwikkeling van malware

De verspreiding van RegretLocker is nog niet groot, maar het geeft volgens securityexperts aan hoe snel malware nog geavanceerder wordt. Bovendien geeft deze ontwikkeling aan dat hackers continu blijven door ontwikkelen terwijl securityspecialisten bezig zijn de bescherming tegen dit soort aanvallen te verbeteren.