اكتشفت كاسبرسكي برامج الفدية الجديدة باستخدام BitLocker لتشفير بيانات الشركة
جاكرتا - نجح فريق استجابة الطوارئ العالمي في كاسبرسكي في تحديد هجمات برامج الفدية الجديدة التي تستخدم Microsoft BitLocker لمحاولات تشفير ملفات الشركة.
أفاد الباحثون أن الجهات الفاعلة في التهديد استخدمت VBScript ، وهي لغة برمجة تستخدم لتأليف المهام الموجودة على أجهزة كمبيوتر Windows ، لإنشاء مخططات ضارة.
إذا كان إصدار نظام التشغيل مناسبا لهذه الهجمات ، فسيقوم النص بتغيير إعدادات التمهيد وحاول تشفير محرك الأقراص بأكمله باستخدام BitLocker.
إنه ينشئ جزءا جديدا للتمهيد ، والذي يعد بشكل أساسي جزءا منفصلا على محرك أقراص الكمبيوتر الذي يحتوي على ملفات لتشغيل نظام التشغيل.
ويهدف هذا الإجراء إلى إغلاق الضحية في المرحلة التالية. يقوم المهاجم أيضا بإزالة الدروع الواقية المستخدمة لتأمين مفاتيح تشفير BitLocker حتى لا تتمكن الضحية من استردادها.
ثم ترسل المخطوطات الضارة معلومات حول النظام ومفاتيح التشفير المولدة على جهاز كمبيوتر مخترق إلى الخادم الذي يتحكم فيه المهاجم التهديد.
بعد ذلك ، غطى بصمته عن طريق إزالة السجلات والملفات المختلفة التي كانت بمثابة أدلة والمساعدة في التحقيق في الهجوم.
"الشيء المقلق للغاية في هذه الحالة هو أن BitLocker ، الذي كان مصمما في الأصل للحد من مخاطر سرقة البيانات أو استغلالها ، قد أعيد استخدامه من قبل الأعداء لأغراض خطرة" ، قال كريستيان سوزا ، أخصائي الاستجابة للحوادث في فريق كاسبرسكي العالمي للاستجابة للطوارئ.
كخطوة أخيرة ، ستقوم البرامج الضارة بإغلاق النظام بالقوة. يرى الضحية شاشة BitLocker برسالة: "لم يعد هناك خيار استعادة BitLocker على جهاز الكمبيوتر الخاص بك".
ووصفت كاسبرسكي النص بأنه "ShrinkLocker" لأن الاسم يسلط الضوء على الإجراء المهم لتغيير حجم الحصة ، والذي من المهم للمهاجمين التأكد من أن النظام يقوم بالتعزيز بشكل صحيح مع ملفات مشفرة.
وقال كريستيان: "التخزين الروتيني ، الذي يتم تخزينه دون اتصال بالإنترنت واختباره ، هو أيضا حماية مهمة".