Gli esperti di Kaspersky hanno individuato un nuova ransomware, denominato ShrinkLocker, che sfrutta la funzionalità BitLocker di Windows per cifrare il disco e rubare la chiave crittografica. Il malware è scritto in VBScript, un linguaggio di programmazione introdotto da Microsoft nel 1996 (che fortunatamente non verrà più supportato).
Attacco piuttosto ingegnoso
Analizzando il codice, che stranamente non è offuscato, gli esperti di Kaspersky hanno descritto la catena di infezione. Il primo passo è raccogliere informazioni sul sistema operativo con Windows Management Instrumentation (WMI). Se viene rilevata una versione precedente a Windows Vista, l’esecuzione si interrompe e lo script viene cancellato.
Se viene rilevata una versione successiva, lo script utilizza l’utility diskpart per ridurre di 100 MB la dimensione di tutte le partizioni, esclusa quella di boot. Viene quindi creata una nuova partizione primaria da 100 MB, successivamente formattata e attivata. Infine viene usata l’utility bcdboot per installare i file di boot nella partizione.
A questo punto, lo script aggiunge diverse chiavi nel registro di Windows, una delle quali attiva BitLocker, Viene quindi disabilitata la funzionalità che consente di recuperare la chiave crittografica (lunga 64 caratteri) usata per cifrare il disco. Al termine, ShrinkLocker riavvia il computer.
All’avvio verrà mostrato un messaggio che avverte l’utente dell’assenza di opzioni per il ripristino. Non viene mostrato nessun messaggio relativo al riscatto. Il malware imposta però un indirizzo email come etichetta della partizione di boot che può essere letta solo con tool di diagnostica. Nella maggioranza dei casi si tratta quindi di un attacco distruttivo, senza richiesta di pagamento.
Ti potrebbe interessare
28 mag 2024