ShrinkLocker: Új Ransomware-törzs titkosítja a BitLockert használó rendszereket

May 27, 2024 Yanac BitLocker, Közigazgatás, Ransomware, ShrinkLocker

Új zsarolóvírus-törzs jelent meg ShrinkLocker néven, amely vállalati rendszereket céloz meg azzal, hogy új bootpartíciót hoz létre a fájlok titkosítására a Windows BitLocker segítségével. A ShrinkLocker, amely a nevét arról a módszeréről kapta, hogy a rendelkezésre álló, nem indítópartíciókat zsugorítja a boot kötet létrehozásához, kormányzati szerveket, valamint az oltóanyag- és gyártási ágazatban működő vállalatokat támadott meg. A hagyományos zsarolóprogramoktól eltérően a ShrinkLockert úgy tervezték, hogy egyedi funkciókkal maximalizálja a kárt, és Visual Basic Scripting (VBScript) nyelven íródott.

A kártevő úgy működik, hogy érzékeli a célgépen lévő Windows-verziót, és csak akkor lép tovább, ha bizonyos kritériumok teljesülnek. A diskpart segédprogramot használja a nem indító partíciók zsugorítására és új elsődleges kötetek létrehozására. Ezután a BCDEdit parancssoros eszközzel újra telepíti a rendszerindító fájlokat ezekre az új partíciókra. A ShrinkLocker módosítja a rendszerleíró adatbázis-bejegyzéseket is, hogy letiltsa a távoli asztali kapcsolatokat és engedélyezze a BitLocker titkosítást megbízható platformmodul (TPM) nélkül. A támadók nem dobnak le váltságdíjfizetési fájlt, hanem egy kapcsolattartási e-mail címet adnak meg az új bootpartíciók címkéjeként. A meghajtók titkosítása után a BitLocker-védelmek törlődnek, így az áldozatoknak nincs lehetőségük a helyreállításra. A Kaspersky a helyreállítási kulcsok biztosítását, offline biztonsági mentések készítését és a végpontvédelmi platformok használatát javasolja az ilyen visszaélések következményeinek csökkentésére.

(forrás)