Bitdefender telah merilis jenis dekripsi ransomware 'ShrinkLocker', yang menggunakan alat enkripsi drive BitLocker bawaan Windows untuk mengunci file korban.
Ditemukan pada Mei 2024 oleh para peneliti di perusahaan keamanan siber Kaspersky, ShrinkLocker tidak memiliki kecanggihan dibandingkan keluarga ransomware lainnya, namun mengintegrasikan fitur yang dapat memaksimalkan kerusakan akibat serangan.
Menurut analisis Bitdefender, malware tersebut tampaknya telah dibuat ulang dari kode jinak berusia 10 tahun, menggunakan VBScript, dan menggunakan teknik yang umumnya sudah ketinggalan zaman.
Para peneliti mencatat bahwa operator ShrinkLocker tampaknya memiliki keterampilan rendah, menggunakan kode dan kesalahan ketik yang berlebihan, meninggalkan log pengintaian dalam bentuk file teks, dan mengandalkan alat yang tersedia.
Namun, pelaku ancaman telah berhasil melakukan serangan terhadap target perusahaan.
Dalam laporan hari ini, Bitdefender menyoroti serangan ShrinkLocker terhadap organisasi layanan kesehatan di mana penyerang mengenkripsi perangkat Windows 10, Windows 11, dan Windows Server di seluruh jaringan, termasuk pencadangan.
Proses enkripsi selesai dalam 2,5 jam dan rumah sakit kehilangan akses ke sistem penting, sehingga berpotensi menghadapi kesulitan dalam memberikan perawatan pasien.
Bitdefender merilis alat dekripsi gratis yang dapat membantu korban ShrinkLocker memulihkan file mereka.
Serangan ShrinkLocker
Daripada menggunakan implementasi enkripsi khusus seperti ransomware tradisional, ShrinkLocker menggunakan Windows BitLocker dengan kata sandi yang dibuat secara acak yang dikirimkan ke penyerang.
Malware pertama-tama menjalankan kueri Windows Management Instrumentation (VMI) untuk memeriksa apakah BitLocker tersedia di sistem target dan menginstal alat tersebut jika tidak.
Ini kemudian menghapus semua perlindungan default yang mencegah drive dienkripsi secara tidak sengaja. Untuk kecepatan, gunakan tanda '-UsedSpaceOnly' untuk membuat BitLocker hanya mengenkripsi ruang disk yang digunakan.
Kata sandi acak dibuat menggunakan lalu lintas jaringan dan data penggunaan memori, sehingga tidak ada pola yang memungkinkan terjadinya brute force.
Skrip ShrinkLocker juga akan menghapus dan mengkonfigurasi ulang semua pelindung BitLocker untuk mempersulit pemulihan kunci enkripsi.
“Pelindung adalah mekanisme yang digunakan BitLocker untuk melindungi kunci enkripsi.” Ini mungkin mencakup perlindungan perangkat keras seperti TPM atau perlindungan perangkat lunak seperti kata sandi atau kunci pemulihan. Dengan menghapus semua pelindung, skrip ini bertujuan untuk membuat korban tidak dapat memulihkan datanya atau mendekripsi drive,” jelas Bitdefender.
Untuk menyebarkan, ShrinkLocker menggunakan Objek Kebijakan Grup (GPO) dan tugas terjadwal, mengubah pengaturan Kebijakan Grup pada pengontrol domain Direktori Aktif, dan membuat tugas untuk semua mesin yang bergabung dengan domain untuk memastikan enkripsi semua drive di jaringan yang disusupi.
Sumber Rantai Serangan ShrinkLocker: Bitdefender
Setelah reboot, korban melihat layar kata sandi BitLocker yang juga menyertakan informasi kontak pelaku ancaman.
Layar BitLocker disajikan kepada korban Sumber: Bitdefender Bitdefender merilis decryptor
Bitdefender telah membuat dan merilis decryptor yang membalikkan urutan di mana ShrinkLocker menghapus dan mengkonfigurasi ulang pelindung BitLocker.
Para peneliti mengatakan mereka telah mengidentifikasi “jendela peluang tertentu untuk pemulihan data segera setelah pelindung dihapus dari drive terenkripsi BitLocker,” yang memungkinkan mereka mendekripsi dan memulihkan kata sandi yang ditetapkan oleh penyerang.
Hal ini memungkinkan proses enkripsi dibalik dan drive dikembalikan ke keadaan sebelumnya yang tidak terenkripsi.
Korban ShrinkLocker dapat mengunduh alat tersebut dan menggunakannya dari drive USB yang terhubung ke sistem yang terpengaruh. Saat layar pemulihan BitLocker ditampilkan, pengguna harus masuk ke mode pemulihan BitLocker dan melewati semua langkah untuk masuk ke opsi lanjutan, yang menyediakan baris perintah untuk menjalankan alat dekripsi.
Decryptor berhasil memulihkan kata sandi BitLocker untuk ShrinkLocker. Sumber: Bitdefender
Para peneliti mengingatkan bahwa waktu untuk mendekripsi data bergantung pada perangkat keras sistem dan kompleksitas enkripsi dan mungkin memerlukan waktu.
Setelah selesai, decryptor akan membuka kunci drive dan menonaktifkan otentikasi berbasis kartu pintar.
Bitdefender mencatat bahwa dekripsi hanya berfungsi di Windows 10, Windows 11, dan versi Windows Server yang lebih baru, dan paling efektif bila digunakan segera setelah serangan ransomware, ketika konfigurasi BitLocker belum sepenuhnya diganti dan dapat dipulihkan.
Sayangnya, metode ini tidak akan berfungsi untuk memulihkan kata sandi BitLocker yang dibuat dengan metode lain.
unity software
unity software information
software information
Informasi mengenai king slot
king selot
king slot
king slot
kingselot
pg king slot
merek 88
merek 88
mantan99
mantan88
maksimal88
maksimal88
liburan88
indodax88
indah99
indah88
ikn88
ibukota88
huawei88
hot888
hot88
dingin88
citra88
binance88
best99
best88
tradisional 88
tradisional 88
tombol88
tombol88
survey88
survey88
start88
start88
obatkuat88
obatkuat88
mcb88
mcb88
master99
master888
master88
live88
live88
libra88
kompresor88
kompresor88
kesimpulan88
kesimpulan88
kapasitor88
kapasitor88
kacamata88
kacamata88
jamu88
jamu88
jam88
jam88
follow88
follow88
dinamo88
dinamo88
baterai88
baterai88
miegacoan
miegacoan
gacoan
gacoan
website88
waweb88
waweb88
translate88
translate88
tempur888
tempur888
tambang99
tambang99
support88
support88
support88
sogoslot88
siap88
siap88
rog88
rog77
pt88
pt88
pln88
pln88
oke99
oke88
mining88
livechat88
livechat88
listrik88
listrik88
listrik88
freeport88
freeport88
free88
free88
domain88
domain88
dokter888
dokter888
bmkg88
bmkg88
asn88