Bitdefender objavio dekriptor za ransomware ShrinkLocker

Vesti, 14.11.2024, 09:30 AM

Bitdefender je objavio dekriptor za ransomware ShrinkLocker nakon višemesečnih napada u kojima je korišćen ovaj malver.

ShrinkLocker koristi Microsoftov BitLocker za šifrovanje fajlova, a zatim uklanja opcije oporavka.

„ShrinkLocker je novi soj ransomwarea koji koristi jedinstven pristup šifrovanju sistema. Iskorišćavanjem BitLockera, legitimne funkcije operativnog sistema Windows, on može brzo da šifruje čitave diskove, uključujući sistemske diskove“, objasnila je kompanija.

ShrinkLocker se pojavio u maju ove godine kada je Kaspersky upozorio da se ransomware koristi za napade na kompanije u Meksiku, Indoneziji i Jordanu, uključujući kompanije za proizvodnju čelika i vakcina, ali i državne institucije.

„Za razliku od većine modernih ransomwarea, koji se oslanjaju na sofisticirane algoritme za šifrovanje, ShrinkLocker koristi jednostavniji, nekonvencionalniji pristup“, navodi Bitdefender. „Prvo proverava da li je BitLocker omogućen i, ako nije, instalira ga. Zatim ponovo šifruje sistem koristeći nasumično generisanu lozinku.“

Ova jedinstvena lozinka se otprema na server koji kontroliše napadač. Nakon što se sistem ponovo pokrene, od korisnika se traži da unese lozinku za otključavanje kako bi otključao disk, i u tom trenutku se prikazuje kontakt napadača, sa uputstvima za plaćanje otkupnine u zamenu za ključ za dešifrovanje.

Ransomware može da šifruje više sistema unutar mreže za samo 10 minuta po uređaju, navodi Bitdefender.

Jednostavnost ransomwarea učinila ga je privlačnim za sajber kriminalce nižeg nivoa koji nisu zainteresovani da učestvuju u većim RaaS operacijama (ransomware-as-a-service). Barijera za ulazak za korišćenje i modifikovanje ShrinkLockera je relativno niska, kažu istraživači, što ga čini dostupnim širem spektru napadača.

„Naša analiza pokazuje da je malver ShrinkLocker prilagođavalo više pojedinačnih aktera pretnji za jednostavnije napade, umesto da se distribuira preko ransomware-as-a-service (RaaS) modela“, rekli su oni.

„Dok smo istraživali ShrinkLocker, otkrili smo iznenađujuću istinu: ovaj kod je možda napisan pre više od jedne decenije, verovatno u benigne svrhe. To je digitalna vremenska kapsula koja je prenamenjena za zle svrhe. Iako su i drugi istraživači bezbednosti analizirali ShrinkLocker, njihovi nalazi često ne odgovaraju tačnom opisu njegovog ponašanja u savremenim mrežnim okruženjima. Na primer, čak i naziv malvera, „ShrinkLocker“, obmanjuje, jer zapravo ne smanjuje particije na operativnim sistemima.“

Ransomware je napravljen da se pokreće na starim sistemima kao što su Windows 7 i 8 ili Windows Server 2008 i 2012.

Microsoft je pre dve godine rekao da je hakerska grupa koju sponzoriše iranska država zloupotrebila Windowsovu funkciju BitLocker u napadima, i da i drugi sajber kriminalci koriste slične tehnike.

„Okrutna je ironija da je bezbednosna mera zloupotrebljena na ovaj način“, rekao je u maju Kaspersky podsećajući da je BitLocker prvobitno dizajniran da ublaži rizike krađe ili izlaganja podataka.

Tokom poslednje dve godine, Bitdefender je objavio 32 dekriptora, između ostalih i one za ransomware LockerGoga, MortalKombat i MegaCortex.

Foto: FlyD | Unsplash