روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین کسپرسکی موقع بررسی رخداد امنیت سایبری به باج‌افزار جدیدی به نام ShrinkLocker برخوردند. یکی از ویژگی‌های جالب این بدافزار این است که سازندگانش به طور هنرمندانه‌ای از قابلیت‌های درون‌سازه‌ای ویندوز برای قفل کردن کامپیوتری که آلوده‌شان کرده است استفاده می‌کنند. مشخصاً،  ShrinkLocker برای مسدود کردن دسترسی به داده از ابزار استاندارد رمزگذاری فول‌دیسک BitLocker استفاده می‌کند.

چه چیزی ShrinkLocker را خطرناک می‌کند؟

ShrinkLocker مانند بیشتر باج‌افزارهای امروزی، درایوهای لوکال قربانی را برای مسدود کردن دسترسی به محتواهایشان رمزگذاری می‌کند. اما آنچه در اصل انجام می‌دهد فعال کردن قابلیت امنیتی استاندارد به نام BitLocker است. ShrinkLocker پارتیشن‌های درایو رایانه را 100 مگابایت کوچک و از فضای آزاد شده برای ایجاد یک پارتیشن بوت برای خود استفاده می‌کند. در حین کار، هر مکانیزم بازیابی کلید BitLocker را غیرفعال و کلیدی را که برای رمزگذاری درایوها استفاده می‌شد به سرور مهاجم ارسال می‌کند. پس از اینکه کاربر کامپیوتر را مجدداً راه اندازی کرد، اعلان رمز عبور استاندارد BitLocker به آنها نمایش داده می‌شود. از آنجایی که کاربر اکنون نمی‌تواند سیستم را راه اندازی کند، ShrinkLocker برچسب تمام درایوهای سیستم را به جای گذاشتن یادداشت باج به آدرس ایمیل مهاجم تغییر می‌دهد.

ساز و کار ShrinkLocker

ShrinkLocker به عنوان یک VBScript پیچیده پیاده‌سازی شده است. با جمع‌آوری اطلاعات در مورد سیستم‌عامل - در درجه اول، نسخه آن شروع می‌شود. اگر اسکریپت متوجه شود که روی ویندوز 2000، XP، 2003 یا ویستا اجرا می‌شود، خاموش می‌شود. برای نسخه‌های جدیدتر ویندوز، بخش هایی از کد خود را اجرا می‌کند که برای سیستم عامل مربوطه بهینه شده است. در مرحله بعد، همانطور که در بالا ذکر شد، عملیات آماده‌سازی را بر روی درایوهای محلی اجرا می‌کند و چندین کلید رجیستری را تغییر می‌دهد تا سیستم را برای اجرای روان BitLocker با تنظیماتی که مهاجم نیاز دارد، پیکربندی کند. سپس تمام محافظ‌های پیش‌فرض بیت‌لاکر را برای جلوگیری از بازیابی کلید غیرفعال و حذف می‌کند و گزینه عددی محافظ رمز عبور را فعال می‌کند. سپس اسکریپت این رمز عبور را تولید می‌کند و رمزگذاری تمام درایوهای محلی را با استفاده از رمز عبور تازه ایجاد شده آغاز می‌کند. سپس، ShrinkLocker یک درخواست HTTP POST حاوی رمز عبور و اطلاعات سیستم را به سرور فرمان و کنترل مهاجم ارسال می‌کند.  برای پنهان کردن آدرس سرور واقعی، عامل تهدید از چندین زیر دامنه trycloudflare.com استفاده می‌کند. این یک دامنه قانونی است که متعلق به CloudFlare است و برای توسعه دهندگان وبسایت طراحی شده است تا قابلیت‌های تونل‌سازی ترافیک وبسایت را آزمایش کنند. در مراحل پایانی، ShrinkLocker مسیرهای خود را با حذف فایل‌های خود از درایو، پاک کردن لاگ‌های Windows PowerShell و غیره پوشش می‌دهد. در نهایت اسکریپت سیستم را دوباره راه‌اندازی می کند.

اگر کاربر هنگام راه‌اندازی دستگاه سعی کند گزینه بازیابی را انتخاب کند، پیامی دریافت می‌کند مبنی بر اینکه هیچ گزینه بازیابی BitLocker در دسترس نیست. نظر به توزیع جغرافیایی عفونت‌ها، محققین ما ShrinkLocker  و مدهای آن را در اندونزی، اردن و مکزیک مشاهده کرده‌اند. می‌توانید جزئیات بیشتر در مورد شیوه کار شرینک‌لاکر را در گزارش ما در سکیورلیست بیابید.

راهکارهای امنیتی

اینجا چند نکته امنیتی ارائه دادیم برای محافظت از خود در برابر ShrinkLocker و سایر تهدیدهای باج‌افزاری:

•          اصل اقل امتیاز را اعمال کنید. به ویژه، به کاربران نباید اجازه تغییر رجیستری یا فعال کردن رمزگذاری تمام حجم داده شود.
•          فعال کردن نظارت بر ترافیک علاوه بر درخواست‌های HTTP GET، ثبت HTTP POST نیز مفید است. در صورت آلودگی، درخواست‌ها به سرور C&C مهاجم ممکن است حاوی رمز عبور و کلید باشد.
•          نظارت بر رویدادهای مرتبط با اجرای VBS و PowerShell.  اسکریپت ها و دستوراتی را که کشف می‌کنید در حافظه خارجی ذخیره کنید، زیرا بدافزار ممکن است گزارش های محلی شما را حذف کند.
•          به طور منظم از اطلاعات خود نسخه پشتیبان تهیه کنید. از فضای ذخیره سازی آفلاین برای پشتیبان گیری استفاده کنید و یکپارچگی آنها را تأیید نمایید.
•          از راهکار امنیتی قابل اعتماد در همه دستگاه های شرکتی استفاده کنید. به عنوان مثال، Kaspersky Endpoint Security for Business ShrinkLocker را با احکام Trojan.VBS.SAgent.gen، Trojan-Ransom.VBS.BitLock.gen و Trojan.Win32.Generic شناسایی می‌کند.
•          از راهکارهای EDR[1] برای نظارت بر فعالیت‌های مشکوک در شبکه شرکتی خود استفاده کنید.

[1] Endpoint Detection and Response

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.