«Лаборатория Касперского» обнаружила программу-вымогатель, которая атакует устройства с использованием средств Windows

Эксперты «Лаборатории Касперского» обнаружили атаки на корпоративные устройства с помощью новой программы-вымогателя, использующей BitLocker. Это функция безопасности в Windows, позволяющая защитить данные с помощью шифрования. Вредоносное ПО получило название ShrinkLocker. Целью были промышленные и фармацевтические компании, а также государственные учреждения.

Вот такую картинку видят на своём экране пострадавшие пользователи.
Злоумышленники создали вредоносный скрипт на языке программирования VBScript, используемом для автоматизации задач на компьютерах под управлением Windows. Этот скрипт проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует функционал BitLocker. Зловред может заражать как новые, так и старые версии ОС.

Скрипт изменяет параметры загрузки ОС, а потом пытается зашифровать разделы жёсткого диска с помощью BitLocker. Создаётся новый загрузочный раздел, чтобы позднее иметь возможность загружать зашифрованный компьютер. Злоумышленники также удаляют инструменты безопасности, используемые для защиты ключа шифрования BitLocker, чтобы пользователь потом не смог их восстановить.

Далее вредоносный скрипт отправляет на сервер злоумышленников информацию о системе и ключ шифрования, сгенерированный на заражённом компьютере. После этого он удаляет логи и различные файлы, которые могут помочь в исследовании атаки.

На заключительном этапе вредоносная программа принудительно блокирует доступ в систему. Жертва видит на экране сообщение: «На вашем компьютере нет вариантов восстановления BitLocker». Эксперты «Лаборатории Касперского» дали вредоносному скрипту название ShrinkLocker (от англ. shrink ― уменьшать).