Вымогатель ShrinkLocker использует для шифрования BitLocker

Во время расследования инцидента эксперты «Лаборатории Касперского» обнаружили новый шифровальщик-вымогатель, получивший название ShrinkLocker. Интересная особенность этого зловреда состоит в том, что для блокировки зараженных компьютеров его создатели искусно пользуются встроенными возможностями Windows. В частности, применяют для блокировки компьютера штатную утилиту для полнодискового шифрования — BitLocker.

Чем опасен шифровальщик-вымогатель ShrinkLocker?

Как и большая часть современных инструментов вымогателей, ShrinkLocker блокирует доступ к содержимому жесткого диска атакованного компьютера, шифруя его. По сути, делает это он при помощи активации штатной защитной функции Bitlocker.

ShrinkLocker уменьшает разделы диска компьютера на 100 Мб (из этого, собственно, и происходит его название) и делает из свободного места собственный загрузочный раздел. При этом все резервные инструменты восстановления ключа Bitlocker удаляются, а использованный ключ отправляется на сервер злоумышленников.

После перезагрузки пользователь видит стандартный экран ввода пароля Bitlocker. Поскольку запустить систему становится невозможным, вместо записки с требованием выкупа ShrinkLocker меняет метки всех дисков системы на контактный e-mail злоумышленников.

Как работает шифровальщик-вымогатель ShrinkLocker

ShrinkLocker реализован в виде сложного сценария VBScript. Для начала он собирает данные о системе — в первую очередь, ее версию. Если обнаруживается, что скрипт запущен на компьютере с Windows 2000, XP, 2003 или Vista, работа шифровальщика прерывается. В случае же более новых версий Windows далее запускаются части скрипта, оптимизированные для работы в соответствующих операционных системах.

На следующем шаге скрипт проводит подготовительную работу с локальными дисками зараженного компьютера (как уже говорилось выше), a также изменяет значения целого ряда ключей реестра, подготавливая таким образом систему для беспрепятственной работы BitLocker с нужными злоумышленникам параметрами.

Вымогатель ShrinkLocker записывает в метку тома почтовый адрес для связи со злоумышленниками

После этого скрипт отключает и удаляет все дефолтные предохранители (протекторы) BitLocker, чтобы предотвратить восстановление ключей шифрования, и включает опцию предохранителя в виде цифрового пароля.

Далее скрипт создает этот пароль и активирует шифрование на основе созданного пароля всех локальных дисков. После чего ShrinkLocker использует запрос HTTP POST для того, чтобы передать пароль вместе с информацией о системе на командный сервер злоумышленников.

Чтобы не раскрывать настоящий адрес своего сервера, злоумышленники используют несколько субдоменов домена trycloudflare.com. Это настоящий домен, принадлежащий CloudFlare, который предназначен для тестирования разработчиками сайтов возможностей туннелирования трафика.

На финальном шаге работы ShrinkLocker совершает ряд действий для заметания следов: удаляет с диска свои файлы, очищает логи Windows PowerShell и так далее. В конце всех операций скрипт перезагружает систему.

Если пользователь при загрузке пытается выбрать опцию восстановления, он получает сообщение о том, что больше никаких опций восстановления BitLocker нет:

В результате работы вымогателя ShrinkLocker диск заблокирован утилитой BitLocker, а опции восстановления отсутствуют

Что касается географии заражений, наши исследователи обнаружили использование скрипта ShrinkLocker и его модифицированных версий в Мексике, Индонезии и Иордании. Больше подробностей о механизме работы шифровальщика-вымогателя ShrinkLocker вы можете найти в отчете на Securelist.

Как защититься от шифровальщика-вымогателя ShrinkLocker

Напоследок — несколько советов о том, как можно защититься от ShrinkLocker и других шифровальщиков-вымогателей:

• Применяйте принцип минимальных привилегий. В частности, у пользователей не должно быть прав на изменение реестра и на включение полнодискового шифрования.
• Включите мониторинг сетевого трафика. Помимо запросов HTTP GET полезно также записывать HTTP POST. В случае заражения запросы на командный сервер атакующих могут содержать пароли и ключи.
• Отслеживайте события, связанные с выполнением VBS и PowerShell. Сохраняйте обнаруженные скрипты и команды во внешнем хранилище, поскольку локальные логи могут быть удалены зловредом.
• Регулярно создавайте резервные копии, используя для этого не подключенное к сети хранилище. Не забывайте проверять работоспособность бэкапов.
• Используйте надежное защитное решение на всех корпоративных устройствах. Например, Kaspersky Endpoint Security для бизнеса детектирует ShrinkLocker с вердиктами Trojan.VBS.SAgent.gen, Trojan-Ransom.VBS.BitLock.gen и Trojan.Win32.Generic.
• Используйте решения класса EDR (Endpoint Detection and Response) , чтобы отслеживать подозрительную активность в корпоративной сети.