back to top
-1 C
New York

Dekripsi ransomware ShrinkLocker baru memulihkan kata sandi BitLocker

Published:

Bitdefender telah merilis jenis dekripsi ransomware 'ShrinkLocker', yang menggunakan alat enkripsi drive BitLocker bawaan Windows untuk mengunci file korban.

Ditemukan pada Mei 2024 oleh para peneliti di perusahaan keamanan siber Kaspersky, ShrinkLocker tidak memiliki kecanggihan dibandingkan keluarga ransomware lainnya, namun mengintegrasikan fitur yang dapat memaksimalkan kerusakan akibat serangan.

Menurut analisis Bitdefender, malware tersebut tampaknya telah dibuat ulang dari kode jinak berusia 10 tahun, menggunakan VBScript, dan menggunakan teknik yang umumnya sudah ketinggalan zaman.

Para peneliti mencatat bahwa operator ShrinkLocker tampaknya memiliki keterampilan rendah, menggunakan kode dan kesalahan ketik yang berlebihan, meninggalkan log pengintaian dalam bentuk file teks, dan mengandalkan alat yang tersedia.

Namun, pelaku ancaman telah berhasil melakukan serangan terhadap target perusahaan.

Dalam laporan hari ini, Bitdefender menyoroti serangan ShrinkLocker terhadap organisasi layanan kesehatan di mana penyerang mengenkripsi perangkat Windows 10, Windows 11, dan Windows Server di seluruh jaringan, termasuk pencadangan.

Proses enkripsi selesai dalam 2,5 jam dan rumah sakit kehilangan akses ke sistem penting, sehingga berpotensi menghadapi kesulitan dalam memberikan perawatan pasien.

Bitdefender merilis alat dekripsi gratis yang dapat membantu korban ShrinkLocker memulihkan file mereka.

Serangan ShrinkLocker

Daripada menggunakan implementasi enkripsi khusus seperti ransomware tradisional, ShrinkLocker menggunakan Windows BitLocker dengan kata sandi yang dibuat secara acak yang dikirimkan ke penyerang.

Malware pertama-tama menjalankan kueri Windows Management Instrumentation (VMI) untuk memeriksa apakah BitLocker tersedia di sistem target dan menginstal alat tersebut jika tidak.

Ini kemudian menghapus semua perlindungan default yang mencegah drive dienkripsi secara tidak sengaja. Untuk kecepatan, gunakan tanda '-UsedSpaceOnly' untuk membuat BitLocker hanya mengenkripsi ruang disk yang digunakan.

Kata sandi acak dibuat menggunakan lalu lintas jaringan dan data penggunaan memori, sehingga tidak ada pola yang memungkinkan terjadinya brute force.

Skrip ShrinkLocker juga akan menghapus dan mengkonfigurasi ulang semua pelindung BitLocker untuk mempersulit pemulihan kunci enkripsi.

“Pelindung adalah mekanisme yang digunakan BitLocker untuk melindungi kunci enkripsi.” Ini mungkin mencakup perlindungan perangkat keras seperti TPM atau perlindungan perangkat lunak seperti kata sandi atau kunci pemulihan. Dengan menghapus semua pelindung, skrip ini bertujuan untuk membuat korban tidak dapat memulihkan datanya atau mendekripsi drive,” jelas Bitdefender.

Untuk menyebarkan, ShrinkLocker menggunakan Objek Kebijakan Grup (GPO) dan tugas terjadwal, mengubah pengaturan Kebijakan Grup pada pengontrol domain Direktori Aktif, dan membuat tugas untuk semua mesin yang bergabung dengan domain untuk memastikan enkripsi semua drive di jaringan yang disusupi.

Rantai serangan ShrinkLockerSumber Rantai Serangan ShrinkLocker: Bitdefender

Setelah reboot, korban melihat layar kata sandi BitLocker yang juga menyertakan informasi kontak pelaku ancaman.

Layar BitLocker ditampilkan kepada korbanLayar BitLocker disajikan kepada korban Sumber: Bitdefender Bitdefender merilis decryptor

Bitdefender telah membuat dan merilis decryptor yang membalikkan urutan di mana ShrinkLocker menghapus dan mengkonfigurasi ulang pelindung BitLocker.

Para peneliti mengatakan mereka telah mengidentifikasi “jendela peluang tertentu untuk pemulihan data segera setelah pelindung dihapus dari drive terenkripsi BitLocker,” yang memungkinkan mereka mendekripsi dan memulihkan kata sandi yang ditetapkan oleh penyerang.

Hal ini memungkinkan proses enkripsi dibalik dan drive dikembalikan ke keadaan sebelumnya yang tidak terenkripsi.

Korban ShrinkLocker dapat mengunduh alat tersebut dan menggunakannya dari drive USB yang terhubung ke sistem yang terpengaruh. Saat layar pemulihan BitLocker ditampilkan, pengguna harus masuk ke mode pemulihan BitLocker dan melewati semua langkah untuk masuk ke opsi lanjutan, yang menyediakan baris perintah untuk menjalankan alat dekripsi.

Layar pemulihan kata sandi BitLockerDecryptor berhasil memulihkan kata sandi BitLocker untuk ShrinkLocker. Sumber: Bitdefender

Para peneliti mengingatkan bahwa waktu untuk mendekripsi data bergantung pada perangkat keras sistem dan kompleksitas enkripsi dan mungkin memerlukan waktu.

Setelah selesai, decryptor akan membuka kunci drive dan menonaktifkan otentikasi berbasis kartu pintar.

Bitdefender mencatat bahwa dekripsi hanya berfungsi di Windows 10, Windows 11, dan versi Windows Server yang lebih baru, dan paling efektif bila digunakan segera setelah serangan ransomware, ketika konfigurasi BitLocker belum sepenuhnya diganti dan dapat dipulihkan.

Sayangnya, metode ini tidak akan berfungsi untuk memulihkan kata sandi BitLocker yang dibuat dengan metode lain.

PANEN96 promo

unity software

unity software information

software information

Informasi mengenai king slot

king selot

king slot

king slot

kingselot

pg king slot

merek 88

merek 88

mantan99

mantan88

maksimal88

maksimal88

liburan88

indodax88

indah99

indah88

ikn88

ibukota88

huawei88

hot888

hot88

dingin88

citra88

binance88

best99

best88

tradisional 88

tradisional 88

tombol88

tombol88

survey88

survey88

start88

start88

obatkuat88

obatkuat88

mcb88

mcb88

master99

master888

master88

live88

live88

libra88

kompresor88

kompresor88

kesimpulan88

kesimpulan88

kapasitor88

kapasitor88

kacamata88

kacamata88

jamu88

jamu88

jam88

jam88

follow88

follow88

dinamo88

dinamo88

baterai88

baterai88

miegacoan

miegacoan

gacoan

gacoan

website88

waweb88

waweb88

translate88

translate88

tempur888

tempur888

tambang99

tambang99

support88

support88

support88

sogoslot88

siap88

siap88

rog88

rog77

pt88

pt88

pln88

pln88

oke99

oke88

mining88

livechat88

livechat88

listrik88

listrik88

listrik88

freeport88

freeport88

free88

free88

domain88

domain88

dokter888

dokter888

bmkg88

bmkg88

asn88

Artikel terkait

Artikel Terbaru