Исследователи по кибербезопасности обнаружили новый штамм программ-требителей, злоупотребляемый встроенным в Windows шифровщиком BitLocker. Это приложение помогает вирусам блокировать доступ жертв к данным на своих устройствах.

Новая программа-требитель называется ShrinkLocker, потому что после заражения ею она уменьшает доступные негрузовые разделы на 100 МБ и создает новые первичные загрузочные тома такого же размера. Затем он использует функцию полного шифрования диска BitLocker, которая входит в состав некоторых версий Microsoft Windows для шифрования файлов в целевом конечном ПК.

К этому времени было отмечено, что новый вирус поражает государственные учреждения, производственные и фармацевтические компании.

BitLocker – это законная функция Windows, предназначенная для защиты данных, обеспечивая шифрование для целых дисков.

ShrinkLocker – не первый вариант программы-вымогателя, использующий BitLocker для шифрования систем. Больница в Бельгии была поражена программой-требителем, которая использовала BitLocker для шифрования 100 ТВ данных на 40 серверах.

Но ShrinkLocker также поставляется с функциями, о которых ранее не сообщалось, чтобы максимизировать ущерб от атаки. Шифровщик не сбрасывает уведомления о выкупе, что является стандартной практикой. Вместо этого он обозначает новые загрузочные разделы как адреса электронной почты, вероятно, приглашая жертв попытаться общаться таким образом.

Кроме того, после успешного шифрования программное обеспечение-вымогатель удаляет все средства защиты BitLocker, избавляя от жертв любых вариантов восстановления ключа шифрования BitLocker. Единственным человеком, держащим ключ, являются злоумышленники, получающие его через TryCloudflare. Это также законный инструмент, который разработчики используют для тестирования туннеля CloudFlare без необходимости добавления сайта в DNS CloudFlare.

В настоящее время неназванные злоумышленники сломали системы, принадлежащие организациям, занимающимся производством стали и вакцин в Мексике, Индонезии и Иордании.