5 dni temu
Czym jest ShrinkLocker i jak działa?
ShrinkLocker to zaskakująco nieskomplikowane zagrożenie ransomware. ShrinkLocker stosuje proste, mniej konwencjonalne podejście niż większość obecnych skomplikowanych zagrożeń typu ransomware. ShrinkLocker zmienia konfiguracje BitLockera tak, by zaszyfrować systemowe dyski.
W pierwszej kolejności ShrinkLocker sprawdza, czy na zainfekowanym urządzeniu BitLocker jest włączony. jeżeli nie, to go instaluje. Kolejnym krokiem jest ponowne szyfrowanie systemu dzięki losowo wygenerowanego hasła. Ten unikalny kod jest przesyłany na prywatny serwer cyberprzestępcy. ShrinkLocker sprawia, iż po ponownym uruchomieniu systemu użytkownik musi podać hasło, aby móc dostać się do zaszyfrowanego systemu. Ponadto na ekranie wyświetla się adres e-mail cyberprzestępcy, który żąda okupu za kod dostępu.
Możliwości ShrinkLocker
Dzięki połączeniu obiektów zasad grupy (GPO) i zaplanowanych zadań ShrinkLocker ma możliwość szyfrowania wielu systemów w sieci w ciągu 10 minut na urządzenie. Ta wysoka wydajność sprawia, iż całkowite naruszenie domeny cyberprzestępca może osiągnąć przy bardzo niewielkim wysiłku. Prostota obsługi ShrinkLocker sprawia, iż ten typ złośliwego systemu jest bardzo atrakcyjny dla początkujących atakujących, lub samotnych wilków, którzy nie są częścią większego ekosystemu ransomware-as-a-service (RaaS).
Podczas analizy ShrinkLockera zespół Bitdefender zauważył zaskakującą rzecz: kod tego złośliwego systemu mógł zostać napisany choćby ponad dekadę temu i początkowo nie był wykorzystywany do nielegalnych celów. Badacze bezpieczeństwa podczas analizy ShrinkLockera zauważyli także, iż nazwa złośliwego systemu ransomware, „ShrinkLocker”, jest nieprecyzyjna, ponieważ to internetowe zagrożenie nie zmniejsza partycji w obecnych systemach operacyjnych.
Największym zmartwieniem zespołu Bitdefender było ustalenie, czy typ złośliwego oprogramowania, taki jak ShrinkLocker może stać się nowym trendem wśród początkujących cyberprzestępców. Na szczęście dochodzenie zespołu Bitdefender ujawniło, iż możliwe jest opracowanie deszyfratora, oraz odpowiednie skonfigurowanie BitLockera celem zneutralizowania tego cyberzagrożenia.
Jak odszyfrować ShrinkLocker?
- W pierwszej kolejności pobierz narzędzie deszyfrujące ze strony: https://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe
- Następnie włącz komputer i poczekaj, aż pojawi się ekran odzyskiwania BitLocker: Gdy ukaże się komunikat związany z podaniem klucza odzyskiwania BitLocker, naciśnij Esc, aby przejść do trybu odzyskiwania BitLocker.
- Następnie na ekranie BitLocker Recovery wybierz opcję „Pomiń ten dysk” i wybierz „Rozwiązywanie problemów” oraz „Opcje zaawansowane”.
- Kolejnym krokiem jest wybranie „Wiersz polecenia” z menu opcji zaawansowanych.
- Teraz upewnij się, iż masz przygotowany plik “BDShrinkLockerUnlocker.exe”. Przenieś go na dysk USB i podłącz do komputera. W wierszu poleceń przejdź do litery dysku, na którym znajduje się deszyfrator.
- W wierszu poleceń wpisz następujące polecenie i naciśnij Enter: „D:\BDShrinkLockerUnlocker.exe„.
- Proces deszyfrowania może potrwać jakiś czas, więc zachowaj cierpliwość. Po zakończeniu deszyfrowania deskryptor automatycznie odblokuje dysk i wyłączy uwierzytelnianie dzięki karty inteligentnej.
- Po ponownym uruchomieniu komputer powinien uruchomić się normalnie.
„Narzędzia deszyfrujące są z natury reaktywne, często ograniczone do określonych ram czasowych lub wersji oprogramowania. Dlatego pamiętaj o tym, iż najlepszą metodą na uchronienie się przed skutkami działania systemu ransomware jest niedopuszczenie do zainfekowania systemu. Dlatego koniecznie zabezpiecz wszystkie swoje urządzenia dzięki skutecznego systemu antywirusowego, który został wyposażony w odpowiednie moduły do ochrony przed ransomware” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora systemu Bitdefender.
