باجافزار ShrinkLocker یک خانواده از باجافزارهاست که دادههای سازمانها را رمزگذاری کرده و برای بازگرداندن دسترسی به فایلها، درخواست باج میکند. این باجافزار برای اولین بار توسط پژوهشگران امنیتی در مه ۲۰۲۴ شناسایی شد، پس از آنکه حملاتی در مکزیک، اندونزی و اردن مشاهده شد.
چه چیزی آن را متمایز میکند؟
باجافزار ShrinkLocker غیرمعمول است زیرا از زبان برنامهنویسی VBScript و ابزار امنیتی قانونی مایکروسافت ویندوز به نام BitLocker برای رمزگذاری فایلهای قربانیان استفاده میکند.
بیتلاکر چیست؟
ابزار ناشناس و جدیدی نیست، ابزار معروف رمزگذاری دیسک. BitLocker یک ویژگی داخلی ویندوز است که از رمزگذاری قوی برای محافظت از دادههای روی هارد دیسک استفاده میکند. این ابزار امنیت رو به این شکل بهبود میبخشد که دسترسی به فایلها را بدون احراز هویت غیرممکن میکند.
این ویژگی برای جلوگیری از دسترسی خرابکارها به دادهها عالی است. اما زمانی که ShrinkLocker دادههای شما را با BitLocker رمزگذاری کند و رمز عبور آن را به شما ندهد، اوضاع کاملا متفاوت خواهد بود. در این حالت، کامپیوترتان تفاوتی بین شما و یک خرابکار قائل نمیشود و دسترسی هر دو به سیستم را قطع میکند. هر کسی که کامپیوتر را روشن کند، با درخواست معمول BitLocker برای رمز عبور مواجه میشود.
آیا BitLocker قبلاً به این شکل توسط مجرمان سایبری استفاده شده است؟
بله. به عنوان مثال، در ژانویه ۲۰۲۱ یک بیمارستان بلژیکی شاهد رمزگذاری ۱۰۰ ترابایت از دادههای خود بر روی ۴۰ سرور با استفاده از BitLocker بود. سال بعد، یک شرکت تولید و توزیع گوشت در مسکو توسط یک حمله مشابه با BitLocker مورد هدف قرار گرفت.
شاید برجستهترین سوءاستفاده از ابزار داخلی BitLocker توسط گروه سایبری Storm-0270 (معروف به Nemesis Kitten) انجام شده باشد. مایکروسافت در سپتامبر ۲۰۲۲ اعلام کرد که این گروه مسئول چندین حمله باجافزاری بوده است.
آیا ShrinkLocker یادداشت باج خواهی برجای میگذارد؟
خیر. در عوض، نام تمام درایوهای سیستم شما را به آدرس تماس مهاجم تغییر میدهد.
چگونه میتوان بدون پرداخت باج به رمز عبور دسترسی پیدا کرد؟
متأسفانه رمز عبور مورد استفاده برای رمزگذاری در سرور مهاجم ذخیره شده است.
اما خبر خوب این است که شرکت امنیتی Bitdefender ابزاری رایگان برای رمزگشایی ارائه کرده که میتواند به قربانیان ShrinkLocker در بازیابی فایلهایشان کمک کند.
منبع: https://www.tripwire.com/state-of-security/shrinklocker-ransomware-what-you-need-know
