ShrinkLocker to zaskakująco prosty, ale skuteczny ransomware, który został wykryty w maju 2024 roku. Pomimo tego, że nie wykorzystuje on najnowszych rodzajów cyberzagrożeń, to nadal jest bardzo niebezpieczny dla użytkowników sieci. Dlatego zespół Bitdefender postanowił przygotować darmowy dekryptor do ShrinkLocker oraz instrukcję, jak go zastosować w przypadku zainfekowania systemu.
Czym jest ShrinkLocker i jak działa?
ShrinkLocker to zaskakująco nieskomplikowane zagrożenie ransomware. ShrinkLocker stosuje proste, mniej konwencjonalne podejście niż większość obecnych skomplikowanych zagrożeń typu ransomware. ShrinkLocker zmienia konfiguracje BitLockera tak, by zaszyfrować systemowe dyski.
W pierwszej kolejności ShrinkLocker sprawdza, czy na zainfekowanym urządzeniu BitLocker jest włączony. Jeśli nie, to go instaluje. Kolejnym krokiem jest ponowne szyfrowanie systemu za pomocą losowo wygenerowanego hasła. Ten unikalny kod jest przesyłany na prywatny serwer cyberprzestępcy. ShrinkLocker sprawia, że po ponownym uruchomieniu systemu użytkownik musi podać hasło, aby móc dostać się do zaszyfrowanego systemu. Ponadto na ekranie wyświetla się adres e-mail cyberprzestępcy, który żąda okupu za kod dostępu.
Możliwości ShrinkLocker
Dzięki połączeniu obiektów zasad grupy (GPO) i zaplanowanych zadań ShrinkLocker ma możliwość szyfrowania wielu systemów w sieci w ciągu 10 minut na urządzenie. Ta wysoka wydajność sprawia, że całkowite naruszenie domeny cyberprzestępca może osiągnąć przy bardzo niewielkim wysiłku. Prostota obsługi ShrinkLocker sprawia, że ten typ złośliwego oprogramowania jest bardzo atrakcyjny dla początkujących atakujących, lub samotnych wilków, którzy nie są częścią większego ekosystemu ransomware-as-a-service (RaaS).
Podczas analizy ShrinkLockera zespół Bitdefender zauważył zaskakującą rzecz: kod tego złośliwego oprogramowania mógł zostać napisany nawet ponad dekadę temu i początkowo nie był wykorzystywany do nielegalnych celów. Badacze bezpieczeństwa podczas analizy ShrinkLockera zauważyli także, że nazwa złośliwego oprogramowania ransomware, „ShrinkLocker”, jest nieprecyzyjna, ponieważ to internetowe zagrożenie nie zmniejsza partycji w obecnych systemach operacyjnych.
Największym zmartwieniem zespołu Bitdefender było ustalenie, czy typ złośliwego oprogramowania, taki jak ShrinkLocker może stać się nowym trendem wśród początkujących cyberprzestępców. Na szczęście dochodzenie zespołu Bitdefender ujawniło, że możliwe jest opracowanie deszyfratora, oraz odpowiednie skonfigurowanie BitLockera celem zneutralizowania tego cyberzagrożenia.
Jak odszyfrować ShrinkLocker?
W pierwszej kolejności pobierz narzędzie deszyfrujące ze strony: https://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe
Następnie włącz komputer i poczekaj, aż pojawi się ekran odzyskiwania BitLocker: Gdy ukaże się komunikat związany z podaniem klucza odzyskiwania BitLocker, naciśnij Esc, aby przejść do trybu odzyskiwania BitLocker.
Następnie na ekranie BitLocker Recovery wybierz opcję „Pomiń ten dysk” i wybierz „Rozwiązywanie problemów” oraz „Opcje zaawansowane”.
Kolejnym krokiem jest wybranie „Wiersz polecenia” z menu opcji zaawansowanych.
Teraz upewnij się, że masz przygotowany plik “BDShrinkLockerUnlocker.exe”. Przenieś go na dysk USB i podłącz do komputera. W wierszu poleceń przejdź do litery dysku, na którym znajduje się deszyfrator.
W wierszu poleceń wpisz następujące polecenie i naciśnij Enter: „D:\BDShrinkLockerUnlocker.exe„.
Proces deszyfrowania może potrwać jakiś czas, więc zachowaj cierpliwość. Po zakończeniu deszyfrowania deskryptor automatycznie odblokuje dysk i wyłączy uwierzytelnianie za pomocą karty inteligentnej.
Po ponownym uruchomieniu komputer powinien uruchomić się normalnie.
– Narzędzia deszyfrujące są z natury reaktywne, często ograniczone do określonych ram czasowych lub wersji oprogramowania. Dlatego pamiętaj o tym, że najlepszą metodą na uchronienie się przed skutkami działania oprogramowania ransomware jest niedopuszczenie do zainfekowania systemu. Dlatego koniecznie zabezpiecz wszystkie swoje urządzenia za pomocą skutecznego systemu antywirusowego, który został wyposażony w odpowiednie moduły do ochrony przed ransomware – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.