ShrinkLocker Ransomware

धेरै ransomware अपरेटरहरूले विन्डोज भित्र माइक्रोसफ्टको बलियो ईन्क्रिप्शन सफ्टवेयरको उपलब्धतालाई ध्यानमा राख्दै, तिनीहरूको मालवेयर धम्कीहरूमा क्रिप्टो-लक गर्ने संयन्त्रलाई एकीकृत गर्ने आवश्यकतामाथि प्रश्न उठाइरहेका छन्। साइबरसुरक्षा विशेषज्ञहरू द्वारा हाइलाइट गरिएको एउटा उल्लेखनीय उदाहरण ShrinkLocker हो। यो ransomware संस्करणले Windows BitLocker प्रयोग गरी कर्पोरेट प्रणालीहरू इन्क्रिप्ट गर्न नयाँ बुट विभाजन स्थापना गर्दछ।

वैध विन्डोज सुविधाको दुरुपयोग गरेर थ्रेट अभिनेताहरूले डाटा लक गर्छन्

BitLocker लाई कम्प्युटरहरू इन्क्रिप्ट गर्न प्रयोग गर्ने ransomware को उदाहरणहरू असामान्य छैनन्। एउटा अवस्थामा, एक खतरा अभिनेताले बेल्जियमको अस्पतालमा 40 सर्भरहरूमा 100TB डाटा इन्क्रिप्ट गर्न Windows भित्र यो सुरक्षा सुविधाको लाभ उठायो। त्यसै गरी, अर्को आक्रमणकारीले BitLocker को उपयोग मस्को-आधारित मासु उत्पादक र वितरकसँग सम्बन्धित प्रणालीहरू इन्क्रिप्ट गर्न प्रयोग गर्यो। माइक्रोसफ्टले सेप्टेम्बर 2022 मा एक चेतावनी जारी गर्‍यो, खुलासा गर्दै कि एक इरानी राज्य-प्रायोजित आक्रमणकारीले Windows 10, Windows 11, वा Windows Server 2016 र नयाँ चलिरहेको प्रणालीहरू इन्क्रिप्ट गर्न BitLocker प्रयोग गरेको थियो।

यद्यपि, ShrinkLocker को छानबिन गर्दा, विज्ञहरूले चेतावनी दिन्छन् कि यो खतराले आक्रमणको प्रभावको हदलाई विस्तार गर्ने उद्देश्यले पहिले अज्ञात सुविधाहरू प्रदर्शन गर्दछ।

ShrinkLocker केही विशिष्टताहरू पूरा भएपछि मात्र कार्यान्वयन गरिन्छ

ShrinkLocker, भिजुअल बेसिक स्क्रिप्टिङ (VBScript) मा कोड गरिएको, Microsoft द्वारा 1996 मा शुरू गरिएको भाषा र अब बाहिर जाने बाटोमा छ। यसको कार्यक्षमताहरू मध्ये, खतराले Win32_OperatingSystem वर्गको साथ Windows व्यवस्थापन उपकरण (WMI) को उपयोग गरेर लक्षित मेसिनमा चलिरहेको विशिष्ट विन्डोज संस्करण पहिचान गर्ने क्षमता प्रदर्शन गर्दछ।

आक्रमण विशेष परिस्थितिहरूमा मात्र अगाडि बढ्छ, जस्तै हालको डोमेन लक्ष्यसँग मिल्ने र अपरेटिङ सिस्टम (OS) संस्करण Vista भन्दा नयाँ छ। अन्यथा, ShrinkLocker स्वतः समाप्त हुन्छ र स्व-मेटिन्छ। जब लक्ष्यले आक्रमणको मापदण्ड पूरा गर्दछ, मालवेयरले विन्डोजमा डिस्क पार्ट युटिलिटी प्रयोग गर्दछ प्रत्येक गैर-बुट विभाजनलाई 100MB द्वारा संकुचित गर्न, नविनियोजन गरिएको ठाउँलाई समान आकारको नयाँ प्राथमिक भोल्युमहरूमा विभाजन गर्दै।

अन्वेषकहरूले नोट गरे कि Windows 2008 र 2012 मा, ShrinkLocker Ransomware ले सुरुमा अन्य भोल्युमहरूको अनुक्रमणिकाको साथ बुट फाइलहरू सुरक्षित गर्दछ। अन्य विन्डोज ओएस संस्करणहरूमा पनि समान रिसाइज सञ्चालनहरू सञ्चालन गरिन्छ, विभिन्न कोड खण्डहरू भए तापनि, अनुसन्धानकर्ताहरूको प्राविधिक विश्लेषणमा उल्लिखित। पछि, मालवेयरले नयाँ उत्पन्न विभाजनहरूमा बुट फाइलहरू पुन: स्थापना गर्न BCDEdit कमाण्ड-लाइन उपकरण प्रयोग गर्दछ।

ShrinkLocker Ransomware ले सम्पूर्ण ड्राइभ विभाजनहरूमा डाटा प्रयोग गर्न नसक्ने रेन्डर गर्दछ

ShrinkLocker ले रिमोट डेस्कटप जडानहरू असक्षम गर्न वा विश्वसनीय प्लेटफर्म मोड्युल (TPM) बिना होस्टहरूमा BitLocker इन्क्रिप्सन सक्षम गर्न रजिस्ट्री प्रविष्टिहरू परिमार्जन गर्दछ। यो समर्पित चिपले हार्डवेयर-आधारित, सुरक्षा-सम्बन्धित कार्यहरू प्रदान गर्दछ।

ShrinkLocker पछाडि धम्की दिने अभिनेताले पीडितसँग सञ्चार च्यानल स्थापना गर्न फिरौती फाइल छोड्दैन। यसको सट्टा, तिनीहरूले नयाँ बुट विभाजनहरूको लेबलको रूपमा सम्पर्क इमेल ठेगाना (onboardingbinder@proton.me, conspiracyid9@protonmail.com) प्रदान गर्छन्। यद्यपि, यो लेबल प्रशासकहरूले देख्ने छैन जबसम्म तिनीहरूले रिकभरी वातावरण प्रयोग गरेर वा अन्य निदानात्मक उपकरणहरू मार्फत बुट गर्दैनन्, यसलाई हराउन एकदम सजिलो बनाउँदै।

ड्राइभहरू इन्क्रिप्ट गरेपछि, खतरा अभिनेताले बिटलकर संरक्षकहरू (जस्तै, TPM, PIN, स्टार्टअप कुञ्जी, पासवर्ड, रिकभरी पासवर्ड, रिकभरी कुञ्जी) लाई मेटाउनको लागि पीडितलाई BitLocker को इन्क्रिप्सन कुञ्जी पुन: प्राप्ति गर्न कुनै पनि विकल्प अस्वीकार गर्न, जुन आक्रमणकारीलाई पठाइन्छ।

फाइलहरू इन्क्रिप्ट गर्नका लागि उत्पन्न गरिएको कुञ्जी भनेको अनियमित गुणन र ०-९ अंकहरू, विशेष क्यारेक्टरहरू, र holoalphabetic वाक्य 'द द्रुत ब्राउन फक्स जम्प्स ओभर द लाजी डग' भएको चरको 64-वर्णको संयोजन हो। यो कुञ्जी TryCloudflare उपकरण मार्फत डेलिभर गरिएको छ, विकासकर्ताहरूको लागि CloudFlare को DNS मा साइट नथरी क्लाउडफ्लेयरको टनेल प्रयोग गर्नको लागि वैध सेवा।

आक्रमणको अन्तिम चरणमा, ShrinkLocker ले सबै परिवर्तनहरू प्रभावकारी हुनका लागि प्रणालीलाई बन्द गर्न बाध्य पार्छ र प्रयोगकर्तालाई ड्राइभ लक गरिएको र BitLocker रिकभरी विकल्पहरू बिना छोड्छ।

ShrinkLocker थ्रेट अभिनेताहरू आर्थिक रूपमा संचालित नहुन सक्छन्

BitLocker ले रिकभरी स्क्रिनहरूमा व्यक्तिगत सन्देश सिर्जना गर्ने विकल्प प्रदान गर्दछ, पीडितहरूलाई जबरजस्ती सन्देश प्रदर्शन गर्नको लागि एक आदर्श प्लेटफर्म प्रदान गर्दछ। प्रख्यात रूपमा प्रदर्शित फिरौती नोट र ड्राइभ लेबलको रूपमा नामित इमेलको अनुपस्थितिले यी आक्रमणहरू वित्तीय उद्देश्यहरूद्वारा संचालित हुनुको सट्टा प्रकृतिमा बढी विनाशकारी हुने उद्देश्यले सुझाव दिन सक्छ।

अन्वेषकहरूले पत्ता लगाएका छन् कि ShrinkLocker धेरै भेरियन्टहरूमा प्रकट हुन्छ र यसलाई सरकारी निकाय, साथै मेक्सिको, इन्डोनेसिया र जोर्डनमा स्टिल र भ्याक्सिन निर्माण क्षेत्रहरू भित्रका संगठनहरू विरुद्ध खटाइएको छ।

आफ्नो प्रणालीहरूमा BitLocker प्रयोग गर्ने कम्पनीहरूलाई रिकभरी कुञ्जीहरूको सुरक्षित भण्डारण सुनिश्चित गर्न र आवधिक रूपमा परीक्षण गरिएका नियमित अफलाइन ब्याकअपहरू कायम राख्न कडा सल्लाह दिइन्छ। यसबाहेक, संस्थाहरूलाई BitLocker दुरुपयोगमा प्रयासहरू पत्ता लगाउन, न्यूनतम प्रयोगकर्ता विशेषाधिकारहरू लागू गर्न, नेटवर्क ट्राफिकको व्यापक लगिङ र निगरानी सक्षम गर्न (GET र POST अनुरोधहरू सहित), सम्बन्धित घटनाहरू ट्र्याक गर्नको लागि ठीकसँग कन्फिगर गरिएको एन्डपोइन्ट प्रोटेक्शन प्लेटफर्म (EPP) समाधान प्रयोग गर्न आग्रह गरिन्छ। VBS र PowerShell कार्यान्वयन, र लग प्रासंगिक स्क्रिप्टहरू।

ShrinkLocker Ransomware भिडियो

सुझाव: आफ्नो आवाज खोल्नुहोस् र पूर्ण स्क्रिन मोडमा भिडियो हेर्नुहोस् ।