Источник изображения: securelist.com
Недавно специалисты компании "Лаборатория Касперского" зафиксировали появление нового вируса-вымогателя под названием ShrinkLocker. Эта вредоносная программа использует встроенную функцию шифрования дисков BitLocker от Microsoft для блокировки доступа пользователей к их личным данным и последующего вымогательства денег за разблокировку.
ShrinkLocker распространялся среди компаний и госучреждений Мексики, Индонезии и Иордании. Анализируя код вируса, эксперты пришли к выводу, что его автор должен обладать глубокими познаниями операционной системы Windows и работе ее компонентов.
Данный вымогатель реализован в виде вредоносного VBScript, содержащего механизмы проверки установленной версии Windows и запуска процедуры шифрования через BitLocker на поддерживаемых платформах (Vista и выше).
После запуска скрипт уменьшает размер всех разделов на 100 Мб, высвобождая место под создание отдельного загрузочного раздела. Отсюда и название ShrinkLocker ("сжимающий разделы"). Далее происходит полное шифрование данных при помощи 64-символьного случайного ключа, который вместе с информацией о системе жертвы отправляется злоумышленникам.
После перезагрузки компьютер загружается уже с нового зашифрованного раздела, что делает невозможным доступ пользователя к собственным файлам. При этом имя раздела меняется на электронную почту хакеров, вероятно, для последующих переговоров о выкупе. Источник атак ещё не установлен. Предполагается, что основная цель злоумышленников - нанесение ущерба и нарушение работы, а не получение финансовой выгоды.
Лаборатория Касперского рекомендует регулярно создавать резервные копии данных, ограничивать права пользователей на изменение параметров безопасности, а также внедрять специализированные системы обнаружения вредоносной активности.