Novo ransomware ataca o Windows dificultando a vida do usuário
Um novo ransomware ataca o Windows e vai dificultar muito a vida dos usuários do sistema, que ficam desprotegidos.
A vida dos usuários do Windows não está fácil, um novo ransomware ataca o Windows utilizando ferramentas nativas.
O diferencial deste novo ransomware é a sua capacidade de utilizar as próprias ferramentas do Windows no processo de criptografia.
Por mais incrível que possa parecer, o Windows não faz uma gestão eficaz de seus próprios recursos, principalmente de recursos sensíveis para acesso a dados.
Novo ransomware ataca o Windows dificultando a vida do usuário
Esse novo ransomware, chamado de ShrinkLocker, tem duas características específicas:
- Ele utiliza a ferramenta BitLocker, nativa do Windows para criptografar dados do disco
- Ele identifica a versão do Windows instalada para fazer uso específico do BitLocker, melhorando o seu range de atuação
Para quem não sabe, o BitLocker é uma ferramenta legítima do Windows, utilizada para criptografar dados sensíveis e melhorar a segurança e privacidade do usuário.
O problema é que ao permitir que o ransomware utilize essa ferramenta o Windows falha na correta gestão de suas próprias ferramentas.
Por hora os ataques se concentram em indústrias, fabricantes de vacinas e órgãos governamentais existentes no México, Indonésia e Jordânia.
Como o ataque funciona
Um script desenvolvido em VBScript identifica a versão do Windows que está sendo executado e em seguida ativa o BitLocker.
Por identificar a versão do Windows esse malware consegue infectar também sistemas antigos, incluindo o Windows Server 2008.
Com o BitLocker ativo os dados do usuário são encriptados ficando indisponíveis para uso.
Em seguida o ransomware apaga as proteções utilizadas para auxiliar o BitLocker, garantindo assim que a pessoa não possa recuperar os arquivos.
Por fim o malware leva ao encerramento forçado do sistema, deixando a seguinte mensagem na tela: “Não existem mais opções de recuperação do BitLocker em seu computador”.
Como se proteger?
Não existe solução específica para este malware, mas algumas ações podem bloquear ou limitar a atuação do ransomware:
- Utilize software de segurança ativo e robusto para identificar ameaças de maneira preventiva
- Limite os privilégios de quem utiliza a rede e evite a ativação não autorizada de funcionalidades de encriptação
- Habilite o registo e o monitoramento do tráfego de rede
- Monitore eventos de execução de VBScript e PowerShell