Новый вирус-вымогатель взламывает Windows BitLocker для шифрования и кражи файлов

Новый вирус-вымогатель взламывает Windows BitLocker для шифрования и кражи файлов

Исследователи кибербезопасности обнаружили новую разновидность программы-вымогателя, которая использует BitLocker, чтобы заблокировать жертвам доступ к их устройствам.

Как сообщает ПипКомпьютерКасперский назвал новую программу-вымогатель ShrinkLocker, потому что при попадании она сжимает доступные незагрузочные разделы на 100 МБ и создает новые основные загрузочные тома того же размера. Затем он использует BitLocker, функцию полного ия диска, включенную в некоторые версии Microsoft Windows, для шифрования файлов на целевой конечной точке.

До сих пор было замечено, что он поражает правительственные учреждения, а также производственные и фармацевтические компании.

Максимальный урон

Для непосвященных: BitLocker — это законная функция Windows, предназначенная для защиты данных путем шифрования целых томов.

ShrinkLocker — не первый вариант программы-вымогателя, использующий BitLocker для шифрования систем. ПипКомпьютер подчеркнул, что больница в Бельгии была поражена ом-вымогателем, который использовал BitLocker для шифрования 100 ТБ данных на 40 серверах, а в 2022 году аналогичная участь постигла производителя и дистрибьютора мяса в России под названием «Мираторг Холдинг».



Но ShrinkLocker также имеет «ранее не сообщалось о функциях, позволяющих максимизировать ущерб от атаки», предупредил Касперский.

Помимо прочего, шифровальщик не отправляет записку о выкупе, что является стандартной практикой. Вместо этого он помечает новые загрузочные разделы как адреса электронной почты, вероятно, предлагая жертвам попробовать связаться таким образом.

Кроме того, после успешного шифрования программа-вымогатель удалит все средства защиты BitLocker, лишив жертв возможности восстановить ключ шифрования BitLocker. Единственные люди, владеющие ключом, — это злоумышленники, которые получили его через TryCloudflare. Это также законный инструмент, который разработчики используют для тестирования туннеля CloudFlare без необходимости добавлять сайт в DNS CloudFlare.

На данный момент неназванные злоумышленники взломали системы, принадлежащие организациям по производству стали и вакцин в Мексике, Индонезии и Иордании.

Больше от TechRadar Pro