Обнаружена программа-вымогатель, которая атакует устройства с использованием легитимной функции Windows

Эксперты из глобальной команды реагирования на киберинциденты «Лаборатории Касперского» (Kaspersky GERT) выявили атаки на корпоративные устройства с использованием нового вымогательского ПО, которое применяет BitLocker. Это встроенная в Windows функция безопасности, обеспечивающая шифрование данных. Новая угроза получила название ShrinkLocker.

Злоумышленники создали вредоносный скрипт на VBScript — языке программирования, используемом для автоматизации задач на компьютерах под управлением Windows. Этот скрипт определяет версию установленной на устройстве Windows и в зависимости от неё активирует BitLocker. Вредоносное ПО способно заразить как новые, так и старые версии ОС, вплоть до Windows Server 2008.

Скрипт изменяет параметры загрузки операционной системы, после чего пытается зашифровать разделы жёсткого диска с помощью BitLocker. Создаётся новый загрузочный раздел для возможности последующей загрузки зашифрованного устройства. Злоумышленники также удаляют средства безопасности, предназначенные для защиты ключа шифрования BitLocker, чтобы пользователь не смог их восстановить.

Затем вредоносный скрипт отправляет на сервер злоумышленников информацию о системе и ключ шифрования, сгенерированный на заражённом устройстве. После этого он стирает следы своего присутствия: удаляет логи и файлы, которые могли бы помочь в расследовании атаки.

В финале вредоносное ПО принудительно блокирует доступ к системе, отображая на экране сообщение: «На вашем компьютере нет вариантов восстановления BitLocker».