Дослідники з кібербезпеки виявили новий штам програм-вимагачів, який зловживає вбудованим у Windows шифрувальником BitLocker. Цей додаток допомагає вірусам блокувати доступ жертвам до даних на своїх пристроях.
Нова програма-вимагач називаєтся ShrinkLocker, тому що після зараження нею вона зменшує доступні незавантажувальні розділи на 100 МБ і створює нові первинні завантажувальні томи такого ж розміру. Потім він використовує функцію повного шифрування диска BitLocker, яка входить до складу деяких версій Microsoft Windows, для шифрування файлів у цільовому кінцевому ПК.
До цього часу було помічено, що новий вірус вражає державні установи, виробничі та фармацевтичні компанії.
BitLocker — це законна функція Windows, призначена для захисту даних, забезпечуючи шифрування для цілих дисків.
ShrinkLocker — не перший варіант програми-вимагача, який використовує BitLocker для шифрування систем. Лікарня в Бельгії була вражена програмою-вимагачем, яка використовувала BitLocker для шифрування 100 ТБ даних на 40 серверах.
Але ShrinkLocker також постачається з функціями, про які раніше не повідомлялося, щоб максимізувати шкоду від атаки. Шифрувальник не скидає повідомлення про викуп, що є стандартною практикою. Натомість він позначає нові завантажувальні розділи як адреси електронної пошти, ймовірно, запрошуючи жертв спробувати спілкуватися таким чином.
Крім того, після успішного шифрування програмне забезпечення-вимагач видаляє всі засоби захисту BitLocker, позбавляючи жертв будь-яких варіантів відновлення ключа шифрування BitLocker. Єдиною людиною, яка тримає ключ, є зловмисники, які отримують його через TryCloudflare. Це також законний інструмент, який розробники використовують для тестування тунелю CloudFlare без необхідності додавати сайт до DNS CloudFlare.
Наразі неназвані зловмисники зламали системи, що належать організаціям, які займаються виробництвом сталі та вакцин у Мексиці, Індонезії та Йорданії.
