Nuovo Decrittografo per ShrinkLocker Recupera Password di BitLocker

Nuovo Decrittografo per ShrinkLocker Recupera Password di BitLocker

Il ransomware ShrinkLocker è stato un problema significativo per le organizzazioni nel 2024, utilizzando la funzionalità di criptaggio di BitLocker di Windows per bloccare i file dei sistemi target. Tuttavia, grazie all’intervento di Bitdefender, ora è disponibile un decrittografo che può aiutare le vittime di ShrinkLocker a recuperare i loro file. In questo articolo, esploreremo come funziona ShrinkLocker, come funziona il decrittografo di Bitdefender e forniremo consigli per prevenire simili attacchi nel futuro.

Come Funziona ShrinkLocker

ShrinkLocker è un tipo di ransomware che si distingue per utilizzare la funzionalità di criptaggio di BitLocker di Windows per bloccare i file dei sistemi target. Ecco come funziona:

  1. Identificazione del Sistema Operativo:
    • ShrinkLocker inizia eseguendo una query WMI per determinare il sistema operativo del computer target. Questo permette al malware di verificare se il sistema supporta la funzionalità di BitLocker.
  2. Abilitazione di BitLocker:
    • Se il sistema supporta BitLocker, ShrinkLocker abilita la funzionalità e la configura per criptare tutti i dischi locali del computer. Utilizza il flag -UsedSpaceOnly per criptare solo lo spazio occupato sul disco, il che accelera il processo di criptaggio.
  3. Generazione della Chiave di Criptaggio:
  • ShrinkLocker genera una chiave di criptaggio casuale utilizzando dati di rete e utilizzo della memoria. Questa chiave è inviata all’attaccante attraverso un server C2, spesso un dominio di prova di Cloudflare.
  1. Modifiche Registrali:
    • ShrinkLocker modifica le chiavi del registro per disabilitare le protezioni di default di BitLocker e rimuovere tutti i protettori di criptaggio, rendendo difficile la recupero delle chiavi di criptaggio.
  2. Propagazione:
    • ShrinkLocker utilizza gli oggetti di politica di gruppo (GPO) e le attività programmate per propagare l’attacco su tutta la rete. Modifica le impostazioni di GPO sui controller di dominio attivi e crea attività per tutti i computer connessi al dominio.

Come Funziona il Decrittografo di Bitdefender

Il decrittografo di Bitdefender è stato sviluppato per recuperare i file criptati da ShrinkLocker. Ecco come funziona:

  1. Identificazione della finestra di recupero:
    • I ricercatori di Bitdefender hanno identificato una finestra di recupero specifica immediatamente dopo la rimozione dei protettori di criptaggio da BitLocker. Questa finestra di recupero consente di recuperare la password di criptaggio impostata dall’attaccante.
  2. Esecuzione del Decrittografo:
    • Per utilizzare il decrittografo, le vittime di ShrinkLocker devono collegare un dispositivo USB con il decrittografo e avviare il computer in modalità di recupero di BitLocker. Successivamente, devono saltare tutte le istruzioni sulla schermata di recupero e utilizzare il decrittografo per recuperare la password di criptaggio.

Consigli per Prevenire Attacchi di ShrinkLocker

Per prevenire attacchi di ShrinkLocker e altri tipi di ransomware, segui questi consigli:

  1. Aggiorna Costantemente il Sistema Operativo e le Applicazioni:
    • Assicurati di aggiornare regolarmente il sistema operativo e le applicazioni per garantire che siano presenti le patch di sicurezza più recenti.
  2. Utilizza Antivirus di Alta Qualità:
    • Utilizza un antivirus di alta qualità che possa rilevare e bloccare malware come ShrinkLocker.
  3. Configura BitLocker con Protezioni:
  • Configura BitLocker con protezioni come TPM (Trusted Platform Module) e PIN per rendere più difficile l’accesso ai dati criptati.
  1. Monitora le Attività del Sistema:
    • Monitora le attività del sistema per rilevare eventuali comportamenti sospetti.
  2. Esegui Backup Regolari:
    • Esegui backup regolari dei dati importanti in un luogo sicuro, come un disco esterno o un servizio di backup cloud.
  3. Sii Cauteloso con i Collegamenti e i File:
  • Sii cauto con i collegamenti e i file ricevuti via email o da fonti sconosciute, poiché possono contenere malware.
  1. Utilizza Politiche di Sicurezza:
    • Utilizza politiche di sicurezza robuste, come gli oggetti di politica di gruppo (GPO), per proteggere i sistemi e le reti.
  2. Formazione e Educazione:
    • Offri formazione e educazione ai dipendenti sulla sicurezza informatica e sui metodi di attacco comuni.
  3. Monitora le Notizie di Sicurezza:
  • Monitora le notizie di sicurezza per essere al corrente degli ultimi attacchi di ransomware e delle strategie di sicurezza più efficaci.

ShrinkLocker è un esempio di come un malware può sfruttare una funzionalità legittima di Windows per causare danni significativi. Grazie al decrittografo di Bitdefender, ora le vittime di ShrinkLocker possono recuperare i loro file. Per prevenire simili attacchi, è importante seguire i consigli di sicurezza elencati in questo articolo e rimanere sempre aggiornati sulle ultime minacce informatiche.

Fonte: https://www.bleepingcomputer.com/news/security/new-shrinklocker-ransomware-decryptor-recovers-bitlocker-password

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto