Công cụ Giải mã Miễn phí từ Bitdefender Hỗ trợ Khôi phục Mật khẩu BitLocker Từ Tấn Công Ransomware ShrinkLocker
Bitdefender vừa ra mắt công cụ giải mã miễn phí, giúp khôi phục dữ liệu bị mã hóa bởi ransomware ShrinkLocker trên Windows. ShrinkLocker sử dụng BitLocker với mật khẩu ngẫu nhiên, gửi đến kẻ tấn công để mã hóa ổ đĩa, nhưng công cụ của Bitdefender cho phép đảo ngược quá trình này, mở khóa dữ liệu cho nạn nhân.
ShrinkLocker và Cách Thức Tấn Công
ShrinkLocker là một loại ransomware khai thác BitLocker của Windows thay vì mã hóa tùy chỉnh như nhiều ransomware khác. Khi lây nhiễm, ShrinkLocker kiểm tra và kích hoạt BitLocker trên hệ thống, tạo mật khẩu ngẫu nhiên để mã hóa ổ đĩa. Để tăng tốc độ, nó chỉ mã hóa không gian đã sử dụng và vô hiệu hóa các bảo vệ mặc định, khiến nạn nhân không thể phục hồi dữ liệu dễ dàng.
Sơ đồ trên mô tả chuỗi tấn công sử dụng Chính sách Nhóm (GPO) trong hệ thống mạng miền để triển khai mã độc một cách tự động trên các máy trong miền, từ đó kích hoạt mã hóa BitLocker trên các máy nạn nhân. Dưới đây là phân tích từng bước trong chuỗi tấn công:
-
Tải lên tập lệnh mã độc: Kẻ tấn công tải hai tập lệnh có đuôi ".vbs" lên một vị trí trung tâm, nằm trong thư mục \SYSVOL\<DnsDomain>\Scripts. Các tập lệnh này bao gồm
Check.vbs
vàAudit.vbs
. -
Chỉnh sửa Chính sách Miền: Chính sách miền mặc định (
Default Domain Policy
) được chỉnh sửa để tạo ra hai tác vụ theo lịch trên tất cả các máy trong miền. Đây là các tác vụ tự động mà các máy trong miền sẽ thực hiện theo lịch trình được thiết lập trong GPO. -
Thực thi tập lệnh đầu tiên: Tác vụ đầu tiên (
ADHealthAudit
) sẽ chạy tập lệnhCheck.vbs
. Tập lệnh này có nhiệm vụ sao chépAudit.vbs
vào một thư mục cục bộ trên từng máy đích trong miền, chẳng hạn như thư mục C:\ProgramData\Microsoft\Windows\Templates. -
Kích hoạt mã hóa BitLocker: Hai ngày sau, tác vụ thứ hai (
ADHealthCheck
) sẽ chạyAudit.vbs
đã được sao chép trước đó trên các máy trong miền. KhiAudit.vbs
được thực thi, nó sẽ khởi động mã hóa BitLocker, khiến dữ liệu trên các máy bị mã hóa và nạn nhân bị khóa truy cập vào dữ liệu của mình.
Bitdefender phát hành trình giải mã
Bitdefender đã phát hành một công cụ giải mã miễn phí nhằm giúp các nạn nhân của ransomware ShrinkLocker khôi phục dữ liệu. Khi sử dụng công cụ giải mã của Bitdefender, nạn nhân có thể khôi phục dữ liệu ngay sau khi các biện pháp bảo vệ BitLocker bị loại bỏ. Công cụ này chỉ hoạt động trên Windows 10, Windows 11 và các phiên bản Windows Server gần đây, đặc biệt hiệu quả nếu sử dụng ngay sau khi bị tấn công. Tuy nhiên, phương pháp này không khôi phục được các mật khẩu BitLocker được tạo từ các phương pháp mã hóa khác.
Cảm xúc của bạn?