Alles rund um Windows

Neuartige Ransomware ShrinkLocker nutzt Microsoft BitLocker aus

Unternehmen in der Stahl- und Impfstoffindustrie sowie eine Regierungsbehörde in Mexiko, Jordanien und Indonesien wurden mit dem neuartigen Ransomware-Typ ShrinkLocker angegriffen, der Microsoft BitLocker zur Dateiverschlüsselung ausnutzt, berichtet The Register.

Laut einem Bericht des Global Emergency Response Teams von Kaspersky beginnen die Angriffe mit der Erlangung der Code-Ausführung, gefolgt von der Auslieferung von ShrinkLocker, das dann ein VBScript nutzt, um Betriebssystemversionen zu ermitteln, Festplattengrößenänderungen vorzunehmen und die Ausführung der Malware sicherzustellen.

Darüber hinaus ändert die Malware die Beschriftung der Partitionen in die E-Mail-Adresse der Erpresser, die es dem Opfer ermöglicht, die Kriminellen zu kontaktieren.

Nachdem sie den für den Zugang zu den verschlüsselten Laufwerken erforderlichen Entschlüsselungscode an einen von den Kriminellen kontrollierten Server gesendet hat, löscht die Malware den Schlüssel lokal, wodurch die Wiederherstellungsoptionen des Benutzers zusammen mit den Systemprotokollen gelöscht werden, mit deren Hilfe Netzwerkadministratoren den Angriff leichter erkennen oder analysieren können.

Schließlich fährt sie das kompromittierte System herunter und zeigt den BitLocker-Bildschirm mit einer Meldung an: "Es gibt keine BitLocker-Wiederherstellungsoptionen mehr auf Ihrem PC".

Neben der Auflistung der Kompromittierungsindikatoren von ShrinkLocker und der Empfehlung, dass Unternehmen verwaltete Erkennungs- und Reaktionsprodukte verwenden, um nach Bedrohungen zu suchen, empfiehlt Kaspersky, dass Unternehmen Maßnahmen ergreifen, um zu verhindern, dass sie Opfer dieser Ransomware werden.

Dazu gehört die Einschränkung der Benutzerrechte, damit sie keine Verschlüsselungsfunktionen aktivieren oder Registrierungsschlüssel ändern können. Und wenn Sie BitLocker aktiviert haben, sollten Sie ein sicheres Kennwort verwenden und Wiederherstellungsschlüssel sicher aufbewahren.

Überwachen Sie außerdem die Ausführungsereignisse von VBScript und PowerShell, und protokollieren Sie so viele kritische Systemaktivitäten wie möglich in einem externen Repository, das nicht lokal gelöscht werden kann.

Sichern Sie außerdem häufig Systeme und Dateien, speichern Sie sie offline und testen Sie sie, um sicherzustellen, dass sie im Falle von Ransomware oder anderen Sicherheitsproblemen wiederhergestellt werden können.