«Лаборатория Касперского» , российская транснациональная компания по компьютерной безопасности , недавно сообщила о появлении нового типа программы-вымогателя под названием ShrinkLocker . В отличие от традиционных программ-вымогателей, требующих выкуп за восстановление доступа к зашифрованным файлам, ShrinkLocker отличается своей разрушительной природой : он использует BitLocker от Microsoft для шифрования и делает данные жертв безвозвратными.
ShrinkLocker: метод атаки вымогателя
ShrinkLocker использует функцию BitLocker — инструмент шифрования, входящий в состав операционных систем Windows, для шифрования файлов целевых компаний. Злоумышленники используют вредоносный скрипт, написанный на VBScript, для определения версии Windows на целевой машине. Если система уязвима, сценарий позволяет BitLocker зашифровать все диски, а затем удаляет параметры восстановления, чтобы предотвратить восстановление файлов.
Первые атаки ShrinkLocker были замечены на компаниях по производству стали и вакцин, а также на государственные учреждения, в основном в Мексике, Индонезии и Иордании.
Как работает ShrinkLocker
Вредоносный скрипт ShrinkLocker проверяет версию операционной системы и изменяет конфигурацию запуска компьютера. Затем он создает новый отдельный загрузочный раздел и удаляет защиту восстановления BitLocker, что делает невозможным восстановление зашифрованных данных без предварительного форматирования системы.
Скрипт отправляет системную информацию и ключ шифрования на сервер, контролируемый киберпреступниками, а затем стирает журналы и файлы, которые могут помочь в расследовании атаки. В конце концов вредоносная программа вызывает завершение работы системы, оставляя жертву на экране BitLocker с сообщением: «На вашем компьютере больше нет вариантов восстановления BitLocker. »
Профилактика и безопасность
ShrinkLocker иллюстрирует злонамеренное использование инструмента безопасности, предназначенного для защиты данных от кражи. Чтобы защититься от угроз этого типа, рекомендуется регулярно обновлять операционную систему с помощью последних обновлений безопасности, использовать надежное программное обеспечение безопасности и избегать пиратского программного обеспечения.
Предприятия также могут повысить свою безопасность, ограничив привилегии пользователей, включив регистрацию и мониторинг сетевого трафика, а также выполняя регулярное резервное копирование своих данных. Кристиан Соуза, специалист по реагированию на инциденты в «Лаборатории Касперского», подчеркивает важность надежных паролей и безопасного хранения ключей восстановления BitLocker.