ShrinkLocker е най-новият рансъмуер, който използва криптирането на целия диск

ShrinkLocker е най-новият рансъмуер, който употребява криптирането на целия диск на Windows.

Непознат до момента рансъмуер, който получи името ShrinkLocker, криптира данните на жертвите благодарение на функционалността BitLocker, вградена в операционната система Windows.

BitLocker е мощна криптираща функционалност, която дебютира през 2007 година с излизането на Windows Vista. Потребителите я употребяват за криптиране на задачите твърди дискове, с цел да попречат на хората да четат или трансформират данните, ако получат физически достъп до диска. От появяването на Windows 10 функционалността BitLocker по дифолт употребява 128-битов и 256-битов вид на логаритъма за криптиране XTS-AES, което ѝ обезпечава спомагателна отбрана от офанзиви, които разчитат на манипулиране на криптирания текст, с цел да провокират предвидими промени в истинския текст.

Неотдавна откриватели Kaspersky Lab откриха извънредно подъл рансъмуер, който употребява точно BitLocker за криптиране на данните в компютри, ситуирани най-вече в Мексико, Индонезия и Йордания. Изследователите нарекоха новия рансъмуер ShrinkLocker, както поради потреблението на BitLocker, по този начин и тъй като той свива размера на всеки нестартиращ дял със 100 MB и разделя новоразпределеното пространство на нови първоначални дялове със същия размер.

„ Нашият разбор на случаите и на зловредния програмен продукт са доказателство, че нападателите непрекъснато усъвършенстват тактиката си, с цел да избегнат откриването “, споделиха специалистите в края на седмицатяа. „ При този случай наблюдавахме корист с нативната функционалност на BitLocker за неоторизирано криптиране на данни “.

ShrinkLocker не е първият злотворен програмен продукт, който употребява BitLocker. През 2022 година Microsoft заяви, че хакери, атакуващи с рансъмуер, свързани с Иран, също са употребявали този инструмент, с цел да криптират файловете.

След като се конфигурира на обещано устройство, ShrinkLocker започва скрипт на VisualBasic, който първо извиква Windows Management Instrumentation и класа Win32_OperatingSystem, с цел да получи информация за операционната система.

„ За всеки обект в границите на резултатите от запитването скриптът ревизира дали настоящият домейн е друг от целевия “, пишат откривателите на Kaspersky Lab. „ Ако е по този начин, скриптът завършва автоматизирано. След това той ревизира дали името на операционната система съдържа „ xp “, „ 2000 “, „ 2003 “ или „ vista “ и в случай че версията на Windows съответствува с някоя от тях, скриптът автоматизирано финишира и се самоизтрива “,

казват още от Kaspersky Lab

Снимка на екрана, показваща първичните инициализации

След това скриптът продължава да употребява WMI за търсене на информация за операционната система. Той продължава да извършва интервенциите за смяна на размера на диска, които могат да варират според от откритата версия на операционната система. Рансъмуерът прави тези интервенции единствено върху локалните, закрепени дискове. Решението да се оставят на мира мрежовите дискове евентуално е подбудено от желанието да не се задействат мрежовите отбрани за разкриване на малуер.

В последна сметка ShrinkLocker деактивира отбраните, предопределени за отбрана на ключа за криптиране посредством BitLocker, и пристъпва към тяхното заличаване. След това задейства потреблението на друга цифрова ключова дума, както като отбрана против това някой различен да си върне контрола върху BitLocker, по този начин и като криптиращо средство за систематичните данни. Причината за изтриването на отбраните по дифолт е да се деактивират функционалностите за възобновяване на ключа от притежателя на устройството. След това ShrinkLocker генерира 64-символен ключ за криптиране, като употребява случайно умножение и заменяне на:

Променлива с числата от 0 до 9; Известната панграма „ Бързата кафява лисица прескача мързеливото куче “ („ The quick brown fox jumps over the lazy dog “), написана с дребни и огромни букви, която съдържа всички букви от британската азбука; Специални знаци.

След няколко спомагателни стъпки данните се криптират. Следващият път, когато устройството се рестартира, екранът наподобява по следния метод:

Декриптирането на дискове без предоставения от нападателя ключ е мъчно и на процедура невероятно. Въпреки че има възможност да се възстановят някои от паролите и закрепените стойности, употребявани за генериране на ключовете, скриптът употребява променливи стойности, които са разнообразни за всяко инфектирано устройство. Тези променливи стойности не са лесни за възобновяване.

Няма никакви по-специфични за ShrinkLocker отбрани за попречване на сполучливи офанзиви. Kaspersky поучава следното:

Използвайте надеждна и вярно конфигурирана отбрана, с цел да откривате заканите, които се пробват да злоупотребяват с BitLocker; Внедряване на Managed Detection and Response (MDR) за самодейно сканиране за заплахи; Ако е задействана функционалността BitLocker, уверете се, че се употребява мощна ключова дума и че ключовете за възобновяване се съхраняват на несъмнено място; Уверете се, че потребителите имат единствено минимални привилегии. Това не им разрешава да задействат функционалностите за криптиране или независимо да трансформират ключовете на систематичния регистър; Разрешете регистрирането и наблюдението на мрежовия трафик. Конфигурирайте регистрирането на GET и POST поръчките. В случай на заразяване поръчките, направени към домейна на нападателя, може да съдържат в себе си новите пароли или ключове; Наблюдавайте за събития, свързани с осъществяването на VBS и PowerShell, след което записвайте записаните скриптове и команди във външно хранилище Често правете аварийни копия, съхранявайте ги офлайн и ги проверявайте.

Наистина доста подъл рансъмуер, който може да стане същински призрачен сън за домашните консуматори, в случай че се популяризира и в други страни. Наистина е належащо да се вършат аварийни копия, изключително когато се работи локално с сензитивна информация – счетоводство, склад и така нататък Без архиви данните ще бъдат погубени, като към този момент няма информация какви суми желаят нападателите, с цел да изпратят паролата за декриптиране на диска.