Внимание: новый вирус-вымогатель ShrinkLocker шифрует данные через BitLocker!

Скриншот, показывающий начальные условия для выполнения.

Новый кошмар для ваших данных: встречайте вирус-вымогатель ShrinkLocker

Представьте себе ситуацию: вы включаете компьютер, а на экране – требование выкупа за доступ к собственным файлам. Знакомьтесь, это ShrinkLocker – новый вирус-вымогатель, использующий для шифрования данных встроенную в Windows функцию BitLocker.

BitLocker – это инструмент для полного шифрования дисков, появившийся еще в Windows Vista. Он призван защитить информацию от несанкционированного доступа, но хакеры нашли способ обратить его против пользователей.

Эксперты «Лаборатории Касперского» обнаружили ShrinkLocker в действии в Мексике, Индонезии и Иордании. Вирус получил свое название из-за двух особенностей: он использует BitLocker и «сжимает» разделы жесткого диска, уменьшая их на 100 МБ, чтобы затем создать новые разделы такого же размера.

«Анализ вируса показал, что злоумышленники постоянно совершенствуют свои методы, чтобы обходить системы защиты», – отмечают исследователи.

ShrinkLocker – не первый вирус, использующий BitLocker в своих целях. В 2022 году Microsoft сообщала о подобных атаках, связанных с хакерами из Ирана. Тогда же от вируса, шифрующего данные с помощью BitLocker, пострадала российская компания «Мираторг».

Снимок экрана, показывающий экран восстановления BitLocker.

Как работает ShrinkLocker?

• Сначала вирус запускает скрипт на VisualBasic, который собирает информацию об операционной системе.
• Затем он проверяет, не установлена ли на компьютере устаревшая версия Windows. Если да – вирус прекращает работу.
• После этого ShrinkLocker изменяет размер разделов жесткого диска, оставляя нетронутыми сетевые диски, чтобы не привлекать внимания систем безопасности.
• Далее вирус отключает защиту ключа шифрования BitLocker и создает новый пароль – 64-символьную комбинацию из цифр, букв и специальных знаков.
• После этого все данные на компьютере шифруются.

Расшифровать файлы без ключа практически невозможно, поскольку он генерируется случайным образом и отличается для каждого устройства.

Как защититься от ShrinkLocker?

• Используйте надежный антивирус с актуальными базами данных.
• Внедрите систему Managed Detection and Response (MDR) для проактивного поиска угроз.
• Если вы используете BitLocker, установите надежный пароль и храните ключи восстановления в безопасном месте.
• Ограничьте права пользователей, чтобы предотвратить несанкционированное изменение настроек системы.
• Ведите логи сетевого трафика и настройте мониторинг GET и POST-запросов.
• Следите за событиями, связанными с запуском VBS-скриптов и PowerShell, сохраняйте логи команд во внешнем хранилище.
• Регулярно делайте резервные копии данных и храните их на отдельном носителе.