2024/05/24 13:43:20

ShrinkLocker (вирус-вымогатель)


2024: Появление вируса

Предприятия и госорганы в России атакует новый вирус-вымогатель, получивший название ShrinkLocker. Вредоносная программа использует встроенный в Windows инструмент шифрования BitLocker. Об этом в «Лаборатории Касперского» рассказали в мае 2024 года.

В рамках распространения нового шифровальщика хакерам был разработан вредоносный скрипт на языке программирования VBScript. Этот инструмент проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует функционал BitLocker. Зловред может заражать как новые, так и старые версии ОС — вплоть до Windows Server 2008, сообщили эксперты «Лаборатории Касперского».

Сообщение, появляющееся на экране жертвы после блокировки доступа к системе

По их словам, скрипт способен менять параметры загрузки ОС, а потом пытается зашифровать разделы жёсткого диска с помощью BitLocker. Создаётся новый загрузочный раздел, чтобы позднее иметь возможность загружать зашифрованный компьютер. Злоумышленники также удаляют инструменты безопасности, используемые для защиты ключа шифрования BitLocker, чтобы пользователь потом не смог их восстановить.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

После этого вредоносный инструмент отправляет на сервер злоумышленников информацию о системе и ключ шифрования, сгенерированный на заражённом компьютере. После этого он «заметает следы»: удаляет логи и различные файлы, которые могут помочь в исследовании атаки.

Последним этапом является то, что вирус принудительно блокирует доступ в систему. Жертва видит на экране сообщение: «На вашем компьютере нет вариантов восстановления BitLocker».

Как отметил руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов, инструмент BitLocker, изначально созданный для предотвращения несанкционированного доступа к данным, теперь стал оружием в руках злоумышленников.[1]

Примечания