Сегодня 14 июня 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

«Лаборатория Касперского» рассказала, как защититься от вируса-вымогателя ShrinkLocker

Недавно «Лаборатория Касперского» обнаружила новый тип вируса-вымогателя ShrinkLocker, которая использует функцию безопасности BitLocker в Windows. Вредоносный скрипт блокирует доступ к данным владельца устройства и требует за разблокировку выкуп. Специалисты «Касперского» дали рекомендации, как избежать блокировки своих данных.

 Источник изображения: Copilot

Источник изображения: Copilot

BitLocker является средством шифрования дисков, которое впервые появилось в Windows Vista в 2007 году. Функция используется для шифрования целых томов, чтобы предотвратить несанкционированный доступ к данным в случае физического доступа к диску. Начиная с Windows 10, BitLocker по умолчанию работает с 128-битным и 256-битным алгоритмом шифрования XTS-AES, который обеспечивает дополнительную защиту от атак, основанных на манипулировании зашифрованными данными.

Случаи использования ShrinkLocker для шифрования систем были зафиксированы в Мексике, Индонезии и Иордании. Смысл атаки заключается в уменьшении размера каждого логического диска на 100 Мбайт с последующим созданием новых разделов такого же размера из высвободившегося пространства — отсюда и название ShrinkLocker.

По словам специалистов, злоумышленники постоянно совершенствуют свои методы, чтобы избежать обнаружения. В данном случае они воспользовались легитимной функцией шифрования для блокировки доступа к файлам пользователей. К слову, это не первый случай использования BitLocker вредоносными программами. Как пишет издание Arstechnica, в 2022 году сообщалось об иранских вымогателях, которые также применяли этот инструмент для шифрования. В том же году российская компания «Мираторг» подверглась атаке локера, зашифровавшего все файлы при помощи BitLocker.

После запуска на устройстве ShrinkLocker выполняет скрипт на VisualBasic, который с помощью WMI собирает информацию об операционной системе и аппаратной платформе. Если обнаруживаются устаревшие Windows XP, 2000, 2003 или Vista — скрипт автоматически завершается. Далее выполняются операции по изменению размеров дисков с учетом версии Windows. При этом сетевые диски игнорируются, чтобы не спровоцировать реакцию систем защиты.

Заключительным этапом атаки является отключение встроенных в BitLocker средств восстановления ключа шифрования и установка числового пароля. Это делается для того, чтобы заблокировать доступ законного владельца к зашифрованным данным. Далее генерируется уникальный 64-значный пароль при помощи случайного алгоритма на основе цифр, букв и специальных символов. После перезагрузки пользователь видит требование ввести этот пароль для расшифровки дисков.

Восстановление данных без ключа шифрования крайне затруднительно, так как алгоритм генерации пароля уникален для каждой атакованной системы. Специфических средств защиты от ShrinkLocker пока не разработано. «Лаборатория Касперского» советует следующее:

  • Включить регистрацию и мониторинг сетевого трафика, настроить ведение журнала запросов GET и POST, так как в случае заражения, запросы к домену злоумышленника могут содержать пароли или ключи.
  • Отслеживать события, связанные с выполнением VBS и PowerShell, затем сохранять зарегистрированные сценарии и команды во внешнем репозитории.
  • Использовать надежные пароли и двухфакторную аутентификацию там, где это возможно.
  • Регулярно делать резервные копии важных данных.

Кроме того, антивирусное программное обеспечение может помочь в обнаружении и блокировке подобных атак на ранних стадиях.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...

window-new
Soft
Hard
Тренды 🔥
Ubisoft превращается в «Абстерго»: платформу Assassin’s Creed Infinity переименовали в «Анимус» 27 мин.
Apple станет первой компанией, которой ЕС предъявит обвинение по закону DMA — из-за монополии App Store 36 мин.
Статистика назвала самые желанные игры с летних презентаций — Doom: The Dark Ages на втором месте 2 ч.
Bandai Namco анонсировала первый за несколько месяцев патч для Elden Ring и раскрыла системные требования Shadow of the Erdtree 3 ч.
«Базальт СПО» представила открытую библиотеку libdomain для управления службами каталогов 4 ч.
Президента Microsoft допросили в Конгрессе США после «каскада ошибок» в системе безопасности 5 ч.
Brave интегрировала собственные результаты поиска в ИИ-чат-бот Leo 5 ч.
Путин запретил пользоваться услугами в сфере кибербезопасности из недружественных стран с 2025 года 6 ч.
Microsoft задержит выпуск ИИ-функции Recall, которая записывает все действия пользователя 7 ч.
Beyond Good and Evil 20th Anniversary Edition ещё никогда не была так близка к релизу — для переиздания уже выпускают патчи 7 ч.
«Джеймс Уэбб» разглядел пару звёзд с газовыми шлейфами там, где учёные 50 лет видели лишь одну звезду 3 ч.
Марсоход Perseverance наткнулся на опасное поле валунов, но смог обогнуть его по руслу древней реки 4 ч.
Samsung Galaxy Z Fold6 показался на видео в форме макета — его сравнили с предшественником 4 ч.
Китайский зонд «Чанъэ-6» впервые в истории обнаружил отрицательные ионы на обратной стороне Луны 5 ч.
Учёные облачили ДНК в искусственный янтарь — получилось сверхплотное и долговечное хранилище данных 5 ч.
Спрос на ЦОД в Азиатско-Тихоокеанском регионе значительно превышает предложение 6 ч.
Суд взыскал с производителя электроники «Ангстрем» более €1 млрд в пользу «ВЭБ.РФ» 6 ч.
Глобальный рынок смартфонов столкнулся с перенасыщением 6 ч.
«Ростех» разработал компактный модуль Com Express Type 6 Compact на процессоре «Эльбрус-2С3» 7 ч.
«Ростех» представил самый маленький компьютер на «Эльбрусе» — как два Raspberry Pi 8 ч.