«Կասպերսկի»-ն Windows-ի լեգիտիմ գործառույթն օգտագործող շորթիչ է հայտնաբերել
«Կասպերսկի» ընկերության Կիբեռմիջադեպերին արձագանքման գլոբալ թիմի (Kaspersky GERT) փորձագետները BitLocker-ն օգտագործող նոր շորթող ծրագրի միջոցով կորպորատիվ սարքերի վրա գրոհներ են հայտնաբերել: Սա Windows-ի անվտանգության գործառույթ է, որը թույլ է տալիս պաշտպանել տվյալները ծածկագրման միջոցով: Վնասաբեր ԾԱ-ն ստացել է ShrinkLocker անվանումը։
Ընկերությունը հայտնում է, որ չարագործները վնասակար սկրիպտ են ստեղծել VBScript-ով՝ ծրագրավորման լեզվով, որն օգտագործվում է Windows-ով աշխատող համակարգիչներում գործընթացներն ավտոմատացնելու համար: Այդ սկրիպտը ստուգում է, թե Windows-ի որ տարբերակն է տեղադրված սարքում, և ըստ այդմ ակտիվացնում է BitLocker-ի գործառույթը: Վնասաբեր ծրագիրը կարող է վարակել ՕՀ-ի ինչպես նոր, այնպես էլ հին տարբերակները՝ ընդհուպ մինչև Windows Server 2008-ը։
Սկրիպտը փոխում է ՕՀ-ի գործարկման պարամետրերը, այնուհետև փորձում ծածկագրել կոշտ սկավառակի բաժինները BitLocker-ի միջոցով: Ստեղծվում է բեռնման նոր բաժին՝ հետագայում ծածկագրված համակարգիչը գործարկելու հնարավորություն ունենալու համար: Չարագործները նաև հեռացնում են անվտանգության գործիքները, որոնք օգտագործվում են BitLocker-ի ծածկագրման բանալին պաշտպանելու համար, որպեսզի հետագայում օգտատերը չկարողանա վերականգնել դրանք:
Հաջորդիվ վնասաբեր սկրիպտը չարագործների սերվեր է ուղարկում համակարգի մասին տեղեկատվությունը և վարակված համակարգչում գեներացված ծածկագրման բանալին։ Դրանից հետո այն «մաքրում է հետքերը». հեռացնում է լոգերը և տարբեր ֆայլեր, որոնք կարող են օգնել գրոհի հետազոտմանը:
Վերջնական փուլում վնասաբեր ծրագիրը հարկադրաբար արգելափակում է հասանելիությունը համակարգին։ Զոհը էկրանին տեսնում է հաղորդագրություն. «Ձեր համակարգչում BitLocker-ը վերականգնելու տարբերակներ չկան»:
«Կասպերսկի» ընկերության փորձագետները վնասաբեր սկրիպտին տվել են ShrinkLocker անվանումը (անգլ. shrink՝ փոքրացնել): Գրոհների ժամանակ առանցքային դեր է խաղում կոշտ սկավառակի բաժինների պարամետրերի փոփոխությունը. դա չարագործների համար ապահովում է ծածկագրված ֆայլերով համակարգը գործարկելու հնարավորություն:
«Գրոհների համար օգտագործվել է BitLocker-ը՝ գործիք, որն ի սկզբանե ստեղծվել է տվյալներին չարտոնված հասանելիությունը կանխելու համար։ Պաշտպանական գործիքը զենք է դարձել չարագործների ձեռքում։ BitLocker օգտագործող ընկերություններին անհրաժեշտ է օգտագործել հուսալի գաղտնաբառեր և ապահով պահել հասանելիությունը վերականգնելու բանալիները: Կարևոր է նաև կազմակերպել կարևոր տվյալների պահուստային կրկնօրինակումը: Խորհուրդ ենք տալիս օգտագործել MDR կամ EDR դասի լուծումներ վաղ հայտնաբերման համար և, իհարկե, հետաքննել բոլոր միջադեպերը՝ գրոհի սկզբնական վեկտորը հայտնաբերելու և ապագայում նմանատիպ միջադեպերի կրկնությունը բացառելու համար»,- մեկնաբանում է «Կասպերսկի» ընկերության Համակարգչային միջադեպերին արձագանքման գլոբալ թիմի ղեկավար Կոնստանտին Սապրոնովը: