Nový ransomware ShrinkLocker používá k šifrování souborů BitLocker

Nový ransomware s názvem ShrinkLocker vytváří nový spouštěcí oddíl a šifruje podnikové systémy pomocí nástroje Windows BitLocker.

Nástroj ShrinkLocker je napsán v jazyce Visual Basic Scripting (VBScript). Jednou z jeho funkcí je zjišťování konkrétní verze systému Windows spuštěné na cílovém počítači pomocí nástroje Windows Management Instrumentation (WMI).

Útok pokračuje pouze v případě, že jsou splněny určité parametry, jako je aktuální doména shodná s cílem a verze operačního systému novější než Vista. V opačném případě ShrinkLocker automaticky skončí a odstraní se.

Pokud cíl odpovídá požadavkům útoku, malware pomocí nástroje diskpart v systému Windows zmenší každý oddíl, který není zaváděcí, o 100 MB a rozdělí nepřidělené místo do nových primárních svazků stejné velikosti.

Stejné operace změny velikosti se provádějí i v jiných verzích operačního systému Windows, ale s jiným kódem, vysvětlují výzkumníci ve své technické analýze.

Nástroj ShrinkLocker také upravuje položky registru, aby zakázal připojení ke vzdálené ploše nebo povolil šifrování BitLocker na hostitelích bez modulu TPM.

Ransomware využívající k šifrování počítačů nástroj BitLocker není novinkou. Útočníci použil tuto bezpečnostní funkci v systému Windows k zašifrování 100 TB dat na 40 serverech v nemocnici v Belgii.