A Kaspersky által felfedezett vírus, amint működésbe lép, 100 MB-tal zsugorítja a rendszer azon partícióit, melyek az indításban nem vesznek részt. Ezután létrehoz új rendszerindító partíciókat.

Ekkor fordul a BitLockerhez: az alapvetően védelmi funkciókat szolgáló Windows-funkcióval egyszerűen titkosítja a célpont eszközén lévő fájlokat. Ezeket a visszafejtési kulcs hiányában lehetetlen visszaszerezni, a hatóságoknak sincs könnyű dolguk vele.

A zsarolóvírussal eddig kormányzati szerveket, gyárakat és gyógyszeripari cégeket céloztak meg, derül ki a Kaspersky jelentéséből.

Fontos különbség az is a ShrinkLocker esetében, hogy a felhasználó nem lát egy üzenetet arról, hogy a Windowst zárolták. A zsarolóvírus-támadások esetében bevett gyakorlat, hogy a hozzáférhetetlen rendszer felhasználója egy szöveges vagy képi tájékoztatót lát a számítógépén, melyen a rosszindulatú felek tájékoztatják, mit kell tegyen – és mennyit kell fizessen – azért, hogy a titkosított fájlokat visszafejtsék a gépén. (Természetesen semmi sem garantálja azt, hogy fizetés után meg is kapja valaki a visszafejtő kulcsokat.)

A ShrinkLocker más megközelítést alkalmaz: az újonnan létrehozott rendszerindító partíciók neve maga lesz egy e-mail-cím, bizonyára azzal a céllal, hogy azon keresztül próbáljon a felhasználó – vagy inkább: a rendszergazda – kapcsolatba lépni a támadóval.

Mindössze ennyit lát a felhasználó a rendszer helyett – semmi nem fog betölteni

Kasperksy

A felhasználó, szemben a normál ügymenet szerinti BitLocker-titkosítással, nem kapja meg a visszafejtési kulcsot (nem meglepő módon). Azzal a támadó rendelkezik csak, és felhőn keresztül kapja meg, így kizárva a felhasználót.

A Bleeping Computer megjegyzi: az, hogy a partíció neve lesz az e-mail-cím, megnehezíti azt is, hogy a rendszergazdák kiszúrják azt. Hogy lássák, helyreállítási környezetben kell elindítaniuk a fertőzött gépet, vagy valamilyen diagnosztikai eszköz szükséges hozzá, így könnyen megeshet, hogy nem is veszik észre.

A portál úgy véli: a fentebb részletezett okokból fakadóan a támadók célja nem elsősorban az anyagi haszonszerzés lehet, hanem a károkozás. A titkosított meghajtókon tárolt fájlok ugyanis – a helyreállítási kulcs hiányában – örökre elvesznek.

Arról egyelőre nincs hír, hogy köznapi felhasználókat is céloznának ezzel a módszerrel.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.