Чем опасен ShrinkLocker?
ShrinkLocker — это новый шифровальщик-вымогатель, который использует встроенную в Windows утилиту BitLocker для блокировки доступа ксодержимому жесткого диска зараженного компьютера. Основные угрозы от ShrinkLocker:
1. Блокировка доступа к данным: ShrinkLocker шифрует данные, используя штатную утилиту BitLocker, делая доступ к информации невозможным без пароля.
2. Удаление средств восстановления: Скрипт удаляет все резервные инструменты восстановления ключа BitLocker, что препятствует восстановлению доступа к зашифрованным данным.
3. Передача ключа злоумышленникам: Ключ шифрования отправляется на сервер злоумышленников, делая доступ к данным возможным только после уплаты выкупа.
Как работает ShrinkLocker?
1. Сбор информации: Скрипт определяет версию операционной системы. Если ОС старше Windows Vista, шифровальщик не активируется.
2. Подготовка дисков: Уменьшает разделы диска на 100 Мб, создавая загрузочный раздел и удаляя резервные инструменты восстановления.
3. Изменение реестра: Настройка ключей реестра для работы BitLocker с нужными параметрами.
4. Удаление предохранителей: Отключение всех стандартных предохранителей BitLocker и установка цифрового пароля.
5. Шифрование дисков: Активирует шифрование всех локальных дисков с созданным паролем.
6. Отправка данных: Пароль и информация о системе отправляются на командный сервер злоумышленников.
7. Удаление следов: Удаление файлов скрипта, очистка логов PowerShell и перезагрузка системы.
Как защититься от ShrinkLocker и других шифровальщиков?
Минимизация привилегий
- Ограничьте права пользователей на изменение реестра и включение полнодискового шифрования.
Мониторинг сетевого трафика:
- Включите мониторинг запросов HTTP POST и записывайте их. Запросы на командный сервер могут содержать важную информацию.
Отслеживание VBS и PowerShell:
- Мониторьте выполнение скриптов VBS и команд PowerShell. Сохраняйте скрипты и команды в безопасное внешнее хранилище.
Резервное копирование:
- Регулярно создавайте резервные копии данных и храните их в отключенном от сети хранилище. Проверяйте работоспособность бэкапов.
Использование защитных решений:
- Установите надежное антивирусное ПО для бизнеса, который детектирует ShrinkLocker как Trojan.VBS.SAgent.gen, Trojan-Ransom.VBS.BitLock.gen и Trojan.Win32.Generic.
Решения класса EDR:
- Используйте системы EDR (Endpoint Detection and Response) для отслеживания подозрительной активности в корпоративной сети.
ShrinkLocker представляет серьезную угрозу для безопасности данных, используя встроенные средства Windows для шифрования дисков. Применение принципа минимальных привилегий, мониторинг сетевого трафика, отслеживание выполнения скриптов и использование надежных защитных решений помогут защититься от этого и других подобных шифровальщиков. Свяжитесь с нами любым удобным способом и получите лучшее предложение для ваших IT-продуктов!
Сайт: https://www.usertech.ru
Телефон: +7 (999) 710-39-95
Почта: s-penkin90@yandex.ru
