Bitdefender ha rilasciato un nuovo strumento di decrittazione per aiutare le vittime a recuperare i dati persi da tutti i precedenti attacchi con il ransomware ShrinkLocker. Il decryptor è gratuito e accessibile a chiunque.
Dopo un‘indagine approfondita e un‘analisi del funzionamento di ShrinkLocker, i professionisti dei laboratori Bitdefender hanno individuato un’opportunità per il recupero completo dei dati subito dopo la rimozione delle protezioni dai dischi crittografati con BitLocker da parte del ransomware. Da questa scoperta è stato creato un decryptor specifico.
Bitdefender dispone di uno dei più grandi programmi di decriptazione di ransomware, che ha permesso alle vittime di risparmiare circa 1,6 miliardi di dollari in costi di riscatto. Ad oggi Bitdefender ha rilasciato 33 decryptor, tra cui quelli per GandCrab e quello universale per REvil.
Bitdefender spiega come decifrare ShrinkLocker
Con l’evoluzione del ransomware, gli aggressori sfruttano tecniche avanzate, come codice sorgente trapelato da gruppi ransomware-as-a-service e linguaggi moderni come Rust e Go. Questo rende sempre più complesso sviluppare strumenti di decrittazione unicamente tramite reverse engineering. Tuttavia, per ShrinkLocker, è stata individuata una finestra di opportunità per il recupero dei dati subito dopo la rimozione dei protettori dai dischi crittografati con BitLocker. Il decryptor è ora disponibile al pubblico, aggiunto alla collezione di 32 strumenti di decrittazione rilasciati in precedenza.
Istruzioni per l’uso dello strumento di decrittazione:
1. Scarica lo strumento da BDShrinkLockerUnlocker.exe.
2. Accendi il computer e attendi la schermata di ripristino di BitLocker. Quando richiesta la chiave di ripristino di BitLocker, premi Esc per entrare in modalità di ripristino di BitLocker.
3. Nella schermata di ripristino di BitLocker, seleziona Salta questa unità.
4. Vai su Risoluzione dei problemi e poi su Opzioni avanzate.
5. Scegli Prompt dei comandi dal menu delle opzioni avanzate.
6. Assicurati di aver preparato il file BDShrinkLockerUnlocker.exe su una USB collegata al computer. Nel prompt dei comandi, accedi alla lettera dell’unità (es. **D:**).
7. Digita il seguente comando e premi Invio: D:\BDShrinkLockerUnlocker.exe
Nota: L’unità USB può essere scollegata dopo l’avvio del decryptor.
8. Il processo di decrittazione potrebbe richiedere tempo in base all’hardware del sistema e alla complessità della crittografia. Si prega di attendere. Una volta completata, il decryptor sbloccherà automaticamente l’unità e disabiliterà l’autenticazione tramite smart card.
9. Dopo il riavvio, il computer dovrebbe avviarsi normalmente.
I suggerimenti per gestire il ransomware
– Gli attacchi ransomware iniziano solitamente con il phishing via email e il social engineering. Bitdefender consiglia di formare costantemente i propri collaboratori sui pericoli derivanti dal fare clic sui link e aprire allegati provenienti da fonti sconosciute.
– Assicurarsi che piattaforme di sicurezza come EDR (Endpoint Detection and Response) e XDR (eXtended Detection and Response) siano aggiornate con gli indicatori di compromissione (IOC) per individuare ShrinkLocker e altre minacce note.
– Considerare il modello MDR (Managed Detection and Response) per supportare i team di sicurezza interni nella caccia proattiva alle minacce.
Identificato nel maggio 2024, ShrinkLocker è un ransomware semplice, ma efficace, che modifica le configurazioni BitLocker di Windows per crittografare le unità di un sistema e applica una password generata in modo casuale e nota solo ai criminali informatici.