Ajándékozz éves hvg360 előfizetést!
Különleges módszert választott a felhasználók kizárására egy új zsarolóvírus (ransomware), a ShrinkLocker: a Windows beépített titkosítási technológiájával zárolja a rendszert.
A Kaspersky által felfedezett vírus, amint működésbe lép, 100 MB-tal zsugorítja a rendszer azon partícióit, melyek az indításban nem vesznek részt. Ezután létrehoz új rendszerindító partíciókat.
Ekkor fordul a BitLockerhez: az alapvetően védelmi funkciókat szolgáló Windows-funkcióval egyszerűen titkosítja a célpont eszközén lévő fájlokat. Ezeket a visszafejtési kulcs hiányában lehetetlen visszaszerezni, a hatóságoknak sincs könnyű dolguk vele.
A zsarolóvírussal eddig kormányzati szerveket, gyárakat és gyógyszeripari cégeket céloztak meg, derül ki a Kaspersky jelentéséből.
Fontos különbség az is a ShrinkLocker esetében, hogy a felhasználó nem lát egy üzenetet arról, hogy a Windowst zárolták. A zsarolóvírus-támadások esetében bevett gyakorlat, hogy a hozzáférhetetlen rendszer felhasználója egy szöveges vagy képi tájékoztatót lát a számítógépén, melyen a rosszindulatú felek tájékoztatják, mit kell tegyen – és mennyit kell fizessen – azért, hogy a titkosított fájlokat visszafejtsék a gépén. (Természetesen semmi sem garantálja azt, hogy fizetés után meg is kapja valaki a visszafejtő kulcsokat.)
A ShrinkLocker más megközelítést alkalmaz: az újonnan létrehozott rendszerindító partíciók neve maga lesz egy e-mail-cím, bizonyára azzal a céllal, hogy azon keresztül próbáljon a felhasználó – vagy inkább: a rendszergazda – kapcsolatba lépni a támadóval.
A felhasználó, szemben a normál ügymenet szerinti BitLocker-titkosítással, nem kapja meg a visszafejtési kulcsot (nem meglepő módon). Azzal a támadó rendelkezik csak, és felhőn keresztül kapja meg, így kizárva a felhasználót.
A Bleeping Computer megjegyzi: az, hogy a partíció neve lesz az e-mail-cím, megnehezíti azt is, hogy a rendszergazdák kiszúrják azt. Hogy lássák, helyreállítási környezetben kell elindítaniuk a fertőzött gépet, vagy valamilyen diagnosztikai eszköz szükséges hozzá, így könnyen megeshet, hogy nem is veszik észre.
A portál úgy véli: a fentebb részletezett okokból fakadóan a támadók célja nem elsősorban az anyagi haszonszerzés lehet, hanem a károkozás. A titkosított meghajtókon tárolt fájlok ugyanis – a helyreállítási kulcs hiányában – örökre elvesznek.
Arról egyelőre nincs hír, hogy köznapi felhasználókat is céloznának ezzel a módszerrel.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
