Как шифровальщик-вымогатель ShrinkLocker использует BitLocker

[KL FC Bot]

Во время расследования инцидента эксперты «Лаборатории Касперского» обнаружили новый шифровальщик-вымогатель, получивший название ShrinkLocker. Интересная особенность этого зловреда состоит в том, что для блокировки зараженных компьютеров его создатели искусно пользуются встроенными возможностями Windows. В частности, применяют для блокировки компьютера штатную утилиту для полнодискового шифрования — BitLocker.

Чем опасен шифровальщик-вымогатель ShrinkLocker?

Как и большая часть современных инструментов вымогателей, ShrinkLocker блокирует доступ к содержимому жесткого диска атакованного компьютера, шифруя его. По сути, делает это он при помощи активации штатной защитной функции Bitlocker.

ShrinkLocker уменьшает разделы диска компьютера на 100 Мб (из этого, собственно, и происходит его название) и делает из свободного места собственный загрузочный раздел. При этом все резервные инструменты восстановления ключа Bitlocker удаляются, а использованный ключ отправляется на сервер злоумышленников.

После перезагрузки пользователь видит стандартный экран ввода пароля Bitlocker. Поскольку запустить систему становится невозможным, вместо записки с требованием выкупа ShrinkLocker меняет метки всех дисков системы на контактный e-mail злоумышленников.

 

Посмотреть статью полностью