🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Bộ giải mã miễn phí cho nạn nhân Ransomware ShrinkLocker dựa trên BitLocker đã được phát hành

14/11/2024

Công ty an ninh mạng Bitdefender của Romania đã phát hành một công cụ giải mã miễn phí giúp nạn nhân khôi phục dữ liệu bị mã hóa bằng phần mềm tống tiền ShrinkLocker.

Công cụ giải mã là kết quả của quá trình phân tích toàn diện hoạt động bên trong của ShrinkLocker, cho phép các nhà nghiên cứu khám phá "thời điểm cụ thể để khôi phục dữ liệu ngay sau khi gỡ bỏ lớp bảo vệ được mã hóa bằng BitLocker".

ShrinkLocker lần đầu tiên được Kaspersky ghi nhận vào tháng 5 năm 2024, khi phát hiện phần mềm độc hại này sử dụng tiện ích BitLocker gốc của Microsoft để mã hóa các tệp và nhấn mạnh về việc các tác nhân đe dọa ngày càng lợi dụng các mối quan hệ đáng tin cậy để xâm nhập vào chuỗi cung ứng.

Bitdefender cho biết cuộc tấn công đã mã hóa thành công các hệ thống chạy Windows 10, Windows 11, Windows Server 2016 và Windows Server 2019. Tuy nhiên, biến thể ShrinkLocker được sử dụng là phiên bản đã sửa đổi của phiên bản gốc.

Được mô tả là đơn giản nhưng hiệu quả, phần mềm tống tiền này nổi bật vì được viết bằng VBScript, một ngôn ngữ lập trình mà Microsoft cho biết sẽ không còn được sử dụng nữa kể từ nửa cuối năm 2024. Thêm vào đó, thay vì triển khai thuật toán mã hóa riêng, phần mềm độc hại này sử dụng BitLocker để đạt được mục tiêu của mình.

Tập lệnh này được thiết kế để thu thập thông tin về cấu hình hệ thống và hệ điều hành, sau đó kiểm tra xem BitLocker đã được cài đặt trên máy chủ Windows hay chưa và nếu chưa, sẽ cài đặt bằng lệnh PowerShell, sau đó thực hiện "khởi động lại bắt buộc" bằng Win32Shutdown.

Phần mềm tống tiền này được thiết kế để tạo ra mật khẩu ngẫu nhiên có nguồn gốc từ thông tin cụ thể của hệ thống, chẳng hạn như lưu lượng mạng, bộ nhớ hệ thống và mức sử dụng đĩa, rồi sử dụng thông tin này để mã hóa ổ đĩa của hệ thống.

Mật khẩu duy nhất sau đó được tải lên máy chủ do kẻ tấn công kiểm soát. Sau khi khởi động lại, người dùng được nhắc nhập mật khẩu để mở khóa ổ đĩa được mã hóa. Màn hình BitLocker cũng được cấu hình để hiển thị địa chỉ email liên hệ của tác nhân đe dọa để bắt đầu thanh toán đổi lấy mật khẩu.

Không chỉ có vậy. tập lệnh thực hiện một số sửa đổi Registry để hạn chế quyền truy cập vào hệ thống bằng cách vô hiệu hóa kết nối RDP từ xa và tắt đăng nhập cục bộ dựa trên mật khẩu. Là một phần trong nỗ lực dọn dẹp, nó cũng vô hiệu hóa các quy tắc Tường lửa Windows và xóa các tệp kiểm tra.

Bitdefender còn chỉ ra rằng cái tên ShrinkLocker dễ gây hiểu lầm vì chức năng cùng tên chỉ giới hạn ở các hệ thống Windows cũ và thực tế là nó không thu nhỏ phân vùng trên các hệ điều hành hiện tại.

Việc chủ động giám sát các nhật ký sự kiện Windows cụ thể có thể giúp các tổ chức xác định và ứng phó với các cuộc tấn công BitLocker tiềm ẩn, ngay cả trong giai đoạn đầu, chẳng hạn như khi kẻ tấn công đang kiểm tra khả năng mã hóa của chúng.

Sử dụng cấu hình BitLocker để lưu trữ thông tin phục hồi trong Dịch vụ miền Active Directory (AD DS) và thực thi chính sách "Không bật BitLocker cho đến khi thông tin phục hồi được lưu trữ vào AD DS cho ổ đĩa hệ điều hành", các tổ chức có thể giảm đáng kể nguy cơ bị tấn công dựa trên BitLocker.

Nguồn: thehackernews.com

scrolltop