Công cụ Giải mã Miễn phí từ Bitdefender Hỗ trợ Khôi phục Mật khẩu BitLocker Từ Tấn Công Ransomware ShrinkLocker

Bitdefender vừa ra mắt công cụ giải mã miễn phí, giúp khôi phục dữ liệu bị mã hóa bởi ransomware ShrinkLocker trên Windows. ShrinkLocker sử dụng BitLocker với mật khẩu ngẫu nhiên, gửi đến kẻ tấn công để mã hóa ổ đĩa, nhưng công cụ của Bitdefender cho phép đảo ngược quá trình này, mở khóa dữ liệu cho nạn nhân.

ASVASV
Nov 14, 2024 - 12:50
 308
Công cụ Giải mã Miễn phí từ Bitdefender Hỗ trợ Khôi phục Mật khẩu BitLocker Từ Tấn Công Ransomware ShrinkLocker

ShrinkLocker và Cách Thức Tấn Công

ShrinkLocker là một loại ransomware khai thác BitLocker của Windows thay vì mã hóa tùy chỉnh như nhiều ransomware khác. Khi lây nhiễm, ShrinkLocker kiểm tra và kích hoạt BitLocker trên hệ thống, tạo mật khẩu ngẫu nhiên để mã hóa ổ đĩa. Để tăng tốc độ, nó chỉ mã hóa không gian đã sử dụng và vô hiệu hóa các bảo vệ mặc định, khiến nạn nhân không thể phục hồi dữ liệu dễ dàng.

Sơ đồ trên mô tả chuỗi tấn công sử dụng Chính sách Nhóm (GPO) trong hệ thống mạng miền để triển khai mã độc một cách tự động trên các máy trong miền, từ đó kích hoạt mã hóa BitLocker trên các máy nạn nhân. Dưới đây là phân tích từng bước trong chuỗi tấn công:

  1. Tải lên tập lệnh mã độc: Kẻ tấn công tải hai tập lệnh có đuôi ".vbs" lên một vị trí trung tâm, nằm trong thư mục \SYSVOL\<DnsDomain>\Scripts. Các tập lệnh này bao gồm Check.vbsAudit.vbs.

  2. Chỉnh sửa Chính sách Miền: Chính sách miền mặc định (Default Domain Policy) được chỉnh sửa để tạo ra hai tác vụ theo lịch trên tất cả các máy trong miền. Đây là các tác vụ tự động mà các máy trong miền sẽ thực hiện theo lịch trình được thiết lập trong GPO.

  3. Thực thi tập lệnh đầu tiên: Tác vụ đầu tiên (ADHealthAudit) sẽ chạy tập lệnh Check.vbs. Tập lệnh này có nhiệm vụ sao chép Audit.vbs vào một thư mục cục bộ trên từng máy đích trong miền, chẳng hạn như thư mục C:\ProgramData\Microsoft\Windows\Templates.

  4. Kích hoạt mã hóa BitLocker: Hai ngày sau, tác vụ thứ hai (ADHealthCheck) sẽ chạy Audit.vbs đã được sao chép trước đó trên các máy trong miền. Khi Audit.vbs được thực thi, nó sẽ khởi động mã hóa BitLocker, khiến dữ liệu trên các máy bị mã hóa và nạn nhân bị khóa truy cập vào dữ liệu của mình.

Bitdefender phát hành trình giải mã

Bitdefender đã phát hành một công cụ giải mã miễn phí nhằm giúp các nạn nhân của ransomware ShrinkLocker khôi phục dữ liệu. Khi sử dụng công cụ giải mã của Bitdefender, nạn nhân có thể khôi phục dữ liệu ngay sau khi các biện pháp bảo vệ BitLocker bị loại bỏ. Công cụ này chỉ hoạt động trên Windows 10, Windows 11 và các phiên bản Windows Server gần đây, đặc biệt hiệu quả nếu sử dụng ngay sau khi bị tấn công. Tuy nhiên, phương pháp này không khôi phục được các mật khẩu BitLocker được tạo từ các phương pháp mã hóa khác.

Cảm xúc của bạn?

like

dislike

love

funny

angry

sad

wow

ASV QR DONATE: Anh em cảm thấy hữu ích hãy ủng hộ mình một ly cafe để có nhiều bài viết giá trị hơn nữa. Cần hỗ trợ tư vấn dịch vụ, vui lòng liên hệ mình. Xin cảm ơn./.