Un nouveau ransomware vient d'être repéré par des experts en sécurité : il détourne à nouveau le module de chiffrement de Microsoft, Bitlocker.
Les experts en sécurité de Kaspersky alertent sur la découverte de la prolifération d'un nouveau ransomware baptisé Shrinklocker. Un ransomware qui cible uniquement les PC sous Windows, puisqu'il s'appuie sur le module de chiffrement Bitlocker, introduit par Microsoft dans Windows Vista, et repris sur tous ses OS depuis.Les cybercriminels se servent ainsi de Bitlocker pour chiffrer l'intégralité des données du disque dur des victimes, puis diffusent un message sur le PC les invitant à régler une somme en cryptomonnaie dans un délai imparti pour récupérer une clé leur permettre de déchiffrer les données en vue de les récupérer.
Le malware se veut assez évolué. Une fois injecté, il repère la version de Windows pour établir la présence ou non du module bitlocker. Par la suite, il cible l'utilitaire de gestion des disques de Windows pour réduire les partitions et réallouer l'espace disque disponible pour créer un nouveau volume lui permettant ainsi de réinstaller des fichiers de démarrage et de manipuler le démarrage de l'OS.C'est ensuite qu'il s'empare de Bitlocker pour chiffrer les données stockées tout en supprimant toutes les protections en place comme les mots de passe, clé de récupération et démarrage sécurisé.
Selon Kaspersky, ShrinkLocker aurait déjà ciblé plusieurs groupes industriels et structures gouvernementales en Indonésie, en Jordanie ainsi qu'au Mexique.
merci à GNT
