Сегодня 30 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → shrinklocker

«Лаборатория Касперского» рассказала, как защититься от вируса-вымогателя ShrinkLocker

Недавно «Лаборатория Касперского» обнаружила новый тип вируса-вымогателя ShrinkLocker, которая использует функцию безопасности BitLocker в Windows. Вредоносный скрипт блокирует доступ к данным владельца устройства и требует за разблокировку выкуп. Специалисты «Касперского» дали рекомендации, как избежать блокировки своих данных.

 Источник изображения: Copilot

Источник изображения: Copilot

BitLocker является средством шифрования дисков, которое впервые появилось в Windows Vista в 2007 году. Функция используется для шифрования целых томов, чтобы предотвратить несанкционированный доступ к данным в случае физического доступа к диску. Начиная с Windows 10, BitLocker по умолчанию работает с 128-битным и 256-битным алгоритмом шифрования XTS-AES, который обеспечивает дополнительную защиту от атак, основанных на манипулировании зашифрованными данными.

Случаи использования ShrinkLocker для шифрования систем были зафиксированы в Мексике, Индонезии и Иордании. Смысл атаки заключается в уменьшении размера каждого логического диска на 100 Мбайт с последующим созданием новых разделов такого же размера из высвободившегося пространства — отсюда и название ShrinkLocker.

По словам специалистов, злоумышленники постоянно совершенствуют свои методы, чтобы избежать обнаружения. В данном случае они воспользовались легитимной функцией шифрования для блокировки доступа к файлам пользователей. К слову, это не первый случай использования BitLocker вредоносными программами. Как пишет издание Arstechnica, в 2022 году сообщалось об иранских вымогателях, которые также применяли этот инструмент для шифрования. В том же году российская компания «Мираторг» подверглась атаке локера, зашифровавшего все файлы при помощи BitLocker.

После запуска на устройстве ShrinkLocker выполняет скрипт на VisualBasic, который с помощью WMI собирает информацию об операционной системе и аппаратной платформе. Если обнаруживаются устаревшие Windows XP, 2000, 2003 или Vista — скрипт автоматически завершается. Далее выполняются операции по изменению размеров дисков с учетом версии Windows. При этом сетевые диски игнорируются, чтобы не спровоцировать реакцию систем защиты.

Заключительным этапом атаки является отключение встроенных в BitLocker средств восстановления ключа шифрования и установка числового пароля. Это делается для того, чтобы заблокировать доступ законного владельца к зашифрованным данным. Далее генерируется уникальный 64-значный пароль при помощи случайного алгоритма на основе цифр, букв и специальных символов. После перезагрузки пользователь видит требование ввести этот пароль для расшифровки дисков.

Восстановление данных без ключа шифрования крайне затруднительно, так как алгоритм генерации пароля уникален для каждой атакованной системы. Специфических средств защиты от ShrinkLocker пока не разработано. «Лаборатория Касперского» советует следующее:

  • Включить регистрацию и мониторинг сетевого трафика, настроить ведение журнала запросов GET и POST, так как в случае заражения, запросы к домену злоумышленника могут содержать пароли или ключи.
  • Отслеживать события, связанные с выполнением VBS и PowerShell, затем сохранять зарегистрированные сценарии и команды во внешнем репозитории.
  • Использовать надежные пароли и двухфакторную аутентификацию там, где это возможно.
  • Регулярно делать резервные копии важных данных.

Кроме того, антивирусное программное обеспечение может помочь в обнаружении и блокировке подобных атак на ранних стадиях.

«Лаборатория Касперского» обнаружила вирус-вымогатель ShrinkLocker — он использует BitLocker

Функция Windows BitLocker снова стала оружием в руках киберпреступников. Специалисты из «Лаборатории Касперского» обнаружили новый вирус-вымогатель под названием ShrinkLocker, который задействует для шифрования данных на атакуемых устройствах BitLocker. Злоумышленники использовали этот вымогатель для атак на IT-инфраструктуру компаний и государственных учреждений в Мексике, Индонезии и Иордании.

 Источник изображения: securelist.com

Источник изображения: securelist.com

Злоумышленники используют вредоносный скрипт на VBScript, языке сценариев, который используется для автоматизации задач на устройствах с Windows. Скрипт проверяет версию используемой ОС и запускает BitLocker, причём сделать это он может на ПК с разными версиями программной платформы, начиная от Vista или Windows Server 2008. Если скрипт обнаруживает более старую версию ОС, то он попросту удаляется с устройства.

Затем вредонос уменьшает все разделы хранилища на 100 Мбайт и задействует высвобожденное пространство для создания нового загрузочного раздела. Из-за этого вымогатель и получил название ShrinkLocker. Далее происходит шифрование хранящихся на устройстве данных с помощью BitLocker и создание нового 64-символьного ключа шифрования, который вместе с другой информацией о ПК жертвы отправляется злоумышленникам. После завершения шифрования компьютер перезагружается и ОС грузится из вновь созданного раздела, а доступ к хранящейся информации для жертвы полностью блокируется. Название нового загрузочного раздела меняется на адрес электронной почты хакера, вероятно, чтобы жертвы могли договориться о выкупе и восстановлении работоспособности устройств.

В сообщении отмечается, что автор ShrinkLocker должен обладать обширными познаниями о работе внутренних функций и утилит Windows. Экспертам «Лаборатории Касперского» не удалось установить, откуда проводятся атаки с использованием нового вредоноса или куда пересылаются данные жертв. Скрипт ShrinkLocker удалось обнаружить всего на одном ПК, где не был установлен BitLocker. Эксперты считают, что характер атак указывает на то, что цель злоумышленников скорее в том, чтобы нарушить работоспособность и уничтожить данные, а не получить выкуп.

Для защиты от атак такого типа рекомендуется чаще делать резервные копии. Кроме того, следует ограничить права пользователей на редактирование, чтобы из их учётных записей было нельзя изменять настройки BitLocker или реестра. В дополнение к этому рекомендуется использовать продвинутые решения для ИБ-защиты, способные отслеживать подозрительную активность и защищать IT-инфраструктуру.


window-new
Soft
Hard
Тренды 🔥
Отечественные сервисы видеосвязи захватили более 90 % корпоративного рынка в России 4 ч.
В Telegram появилась «Проверка фактов», но не у всех 6 ч.
Слухи: Bethesda подготовила новые трейлеры The Elder Scrolls VI, но не для широкой публики 6 ч.
Восток и Запад встречаются в дебютном трейлере дополнения Badlands к симулятору выживания DayZ 6 ч.
Безоговорочный возврат средств, скидка за лояльность и план патчей: создатели провального ремастера Warhammer 40,000: Space Marine обратились к игрокам 6 ч.
AirPods с живым переводом и Wi-Fi без паролей могут появиться в iOS 26 уже осенью 12 ч.
Президент США заявил, что покупатель для американских активов TikTok найден 12 ч.
Baidu откроет исходный код Ernie, что может изменить расстановку сил на мировом ИИ-рынке 12 ч.
Meta переманила из OpenAI ещё четырёх специалистов в области ИИ 29-06 06:57
Раскрыта древнейшая «пасхалка» от разработчиков Apple — 27 лет назад её спрятали в Power Mac G3 29-06 01:36
SpaceX запустила британский спутник для производства полупроводников прямо на орбите Земли 7 мин.
Слухи: Apple выпустит недорогой MacBook с чипом от iPhone 14 мин.
Б/у автоаккумуляторы запитали ИИ ЦОД с 2 тыс. ускорителей 2 ч.
Anker отзовёт ещё несколько миллионов пауэрбанков с потенциально пожароопасными элементами 3 ч.
MSI выпустит компактные GeForce RTX 5050 Gaming с разгоном и без 4 ч.
Samsung до сих пор не хватает собственной памяти LPDDR5X для смартфонов Galaxy S25 4 ч.
SiPearl Seine — сервер эталонного дизайна для европейских Arm-процессоров Rhea1 5 ч.
Apple разрабатывает сразу семь устройств виртуальной и дополненной реальности — первое выйдет уже в этом году 5 ч.
ATP представила индустриальные SSD серий N651Si/N651Sc с повышенной долговечностью 6 ч.
Китайские электромобили станут безопаснее: власти ужесточат требования к защите батарей от возгораний и взрывов 6 ч.