Công cụ giải mã mới cho ransomware ShrinkLocker khôi phục mật khẩu BitLocker
Vào ngày 13 tháng 11 năm 2024, Bitdefender đã phát hành một công cụ giải mã cho ransomware ShrinkLocker, một loại mã độc tống tiền sử dụng công cụ mã hóa ổ đĩa BitLocker tích hợp sẵn của Windows để khóa các tệp của nạn nhân. ShrinkLocker được phát hiện vào tháng 5 năm 2024 bởi các nhà nghiên cứu tại công ty an ninh mạng Kaspersky. Mặc dù không phức tạp như các dòng ransomware khác, ShrinkLocker tích hợp các tính năng có thể tối đa hóa thiệt hại của một cuộc tấn công.
Đặc điểm của ShrinkLocker
ShrinkLocker không sử dụng các phương pháp mã hóa tùy chỉnh như ransomware truyền thống mà thay vào đó sử dụng BitLocker của Windows với một mật khẩu được tạo ngẫu nhiên và gửi đến kẻ tấn công. Mã độc này thực hiện một truy vấn Windows Management Instrumentation (WMI) để kiểm tra xem BitLocker có sẵn trên hệ thống mục tiêu hay không và cài đặt công cụ nếu không có. Sau đó, nó loại bỏ tất cả các bảo vệ mặc định để ngăn ổ đĩa bị mã hóa ngẫu nhiên. Để tăng tốc độ, ShrinkLocker sử dụng cờ '-UsedSpaceOnly' để chỉ mã hóa không gian đã sử dụng trên đĩa.
Mật khẩu ngẫu nhiên được tạo ra bằng cách sử dụng dữ liệu lưu lượng mạng và sử dụng bộ nhớ, do đó không có mẫu nào để thực hiện tấn công brute-force. ShrinkLocker cũng xóa và cấu hình lại tất cả các bảo vệ của BitLocker, làm cho việc khôi phục các khóa mã hóa trở nên khó khăn hơn.
Công cụ giải mã của Bitdefender
Bitdefender đã phát triển và phát hành một công cụ giải mã có khả năng đảo ngược trình tự mà ShrinkLocker xóa và cấu hình lại các bảo vệ của BitLocker. Các nhà nghiên cứu đã xác định "một cửa sổ cơ hội cụ thể để khôi phục dữ liệu ngay sau khi các bảo vệ bị xóa khỏi các đĩa mã hóa BitLocker," cho phép họ giải mã và khôi phục mật khẩu do kẻ tấn công đặt. Điều này giúp có thể đảo ngược quá trình mã hóa và đưa các ổ đĩa trở lại trạng thái không mã hóa trước đó.
Nạn nhân của ShrinkLocker có thể tải xuống công cụ và sử dụng nó từ một ổ USB kết nối với các hệ thống bị ảnh hưởng. Khi màn hình khôi phục BitLocker xuất hiện, người dùng nên vào Chế độ Khôi phục BitLocker và bỏ qua tất cả các bước để đến Tùy chọn nâng cao, nơi cung cấp một dấu nhắc lệnh cho phép khởi chạy công cụ giải mã.
Lưu ý khi sử dụng công cụ giải mã
Các nhà nghiên cứu cảnh báo rằng thời gian để giải mã dữ liệu phụ thuộc vào phần cứng của hệ thống và độ phức tạp của mã hóa và có thể mất một thời gian. Khi hoàn thành, công cụ giải mã sẽ mở khóa ổ đĩa và vô hiệu hóa xác thực dựa trên thẻ thông minh. Bitdefender lưu ý rằng công cụ giải mã chỉ hoạt động trên Windows 10, Windows 11 và các phiên bản Windows Server gần đây và hiệu quả nhất khi được sử dụng ngay sau cuộc tấn công ransomware, khi các cấu hình của BitLocker chưa bị ghi đè hoàn toàn và có thể được khôi phục. Tuy nhiên, phương pháp này sẽ không hoạt động để khôi phục mật khẩu BitLocker được tạo bằng các phương pháp khác.
Tham khảo
