Recentemente, a Kaspersky Lab descobriu um novo tipo de vírus ransomware ShrinkLocker que usa o recurso de segurança BitLocker no Windows. O script malicioso bloqueia o acesso aos dados do proprietário do dispositivo e exige resgate para desbloqueio. Os especialistas da Kaspersky deram recomendações sobre como evitar o bloqueio dos seus dados.
Fonte da imagem: Copiloto
BitLocker é uma ferramenta de criptografia de unidade que apareceu pela primeira vez no Windows Vista em 2007. A função é usada para criptografar volumes inteiros para evitar acesso não autorizado aos dados em caso de acesso físico ao disco. A partir do Windows 10, o BitLocker funciona por padrão com algoritmos de criptografia XTS-AES de 128 e 256 bits, que fornecem proteção adicional contra ataques que manipulam dados criptografados.
Casos de uso do ShrinkLocker para criptografar sistemas foram documentados no México, na Indonésia e na Jordânia. A ideia do ataque é reduzir o tamanho de cada unidade lógica em 100 MB e depois criar novas partições do mesmo tamanho a partir do espaço liberado – daí o nome ShrinkLocker.
Segundo especialistas, os invasores estão constantemente aprimorando seus métodos para evitar a detecção. Neste caso, eles usaram um recurso de criptografia legítimo para bloquear o acesso aos arquivos dos usuários. A propósito, esta não é a primeira vez que o BitLocker é usado por malware. Segundo a Arstechnica, em 2022 houve relatos de ransomware iraniano que também usava essa ferramenta para criptografia. No mesmo ano, a empresa russa Miratorg foi atacada por um armário que criptografava todos os arquivos usando o BitLocker.
Depois de iniciado no dispositivo, o ShrinkLocker executa um script VisualBasic que usa WMI para coletar informações sobre o sistema operacional e a plataforma de hardware. Se forem detectados Windows XP, 2000, 2003 ou Vista desatualizados, o script será concluído automaticamente. A seguir, são realizadas operações de redimensionamento dos discos levando em consideração a versão do Windows. Neste caso, as unidades de rede são ignoradas para não provocar reação dos sistemas de segurança.
O estágio final do ataque é desabilitar as ferramentas integradas de recuperação de chave de criptografia do BitLocker e definir uma senha numérica. Isso é feito para bloquear o acesso do legítimo proprietário aos dados criptografados. Em seguida, uma senha exclusiva de 64 dígitos é gerada usando um algoritmo aleatório baseado em números, letras e caracteres especiais. Após a reinicialização, o usuário verá a necessidade de inserir essa senha para descriptografar os discos.
Recuperar dados sem chave de criptografia é extremamente difícil, pois o algoritmo de geração de senha é único para cada sistema atacado. Nenhum meio específico de proteção contra o ShrinkLocker foi desenvolvido ainda. A Kaspersky Lab aconselha o seguinte:
- Habilite o registro e monitoramento do tráfego de rede, configure o registro de solicitações GET e POST, pois em caso de infecção, as solicitações ao domínio do invasor podem conter senhas ou chaves.
- Monitore eventos de execução VBS e PowerShell e salve scripts e comandos registrados em um repositório externo.
- Use senhas fortes e autenticação de dois fatores sempre que possível.
- Faça backup regularmente de dados importantes.
Além disso, o software antivírus pode ajudar a detectar e bloquear esses ataques nos estágios iniciais.