Un nouveau ransomware cible les ordinateurs Windows
Les experts de Kaspersky ont découvert un nouveau ransomware nommé ShrinkLocker, ciblant les ordinateurs sous Windows. Ce malware détourne BitLocker, le module de chiffrement intégré par Microsoft, pour passer inaperçu.
BitLocker, introduit en 2007 avec Windows Vista, permet aux utilisateurs de protéger leurs données en chiffrant entièrement le disque dur. Cependant, ShrinkLocker utilise cette fonctionnalité à des fins malveillantes. Selon Kaspersky, « utiliser les propres fonctionnalités du système d’exploitation » est « l’un des meilleurs moyens d’échapper à la détection ».
ShrinkLocker vérifie la version de Windows avant d’agir. Si le système est antérieur à Vista, il ne chiffre pas les données et s’autodétruit. Pour les versions plus récentes, il réduit les parties du disque dur sans système d’exploitation, réinstalle les fichiers de démarrage, et utilise BitLocker pour chiffrer les données. Toutes les protections par défaut sont désactivées et remplacées par celles du ransomware. Une clé de cryptage de 64 caractères est générée, et le système est forcé à s’arrêter, rendant la récupération des fichiers presque impossible. Les attaquants laissent une adresse mail dans les nouvelles partitions de démarrage pour que les victimes puissent négocier la clé de déchiffrement.
Une menace en évolution
ShrinkLocker montre que les cybercriminels affinent constamment leurs tactiques. Mais démontre aussi que les fonctionnalités de Windows, comme BitLocker, peuvent être détournées à des fins malveillantes, nécessitant une vigilance accrue des utilisateurs et des mesures de sécurité renforcées.
Source : 01Net