Er verschijnt dagelijks nieuwe ransomware, maar sommige ransomware slaat zo hard toe dat er ook berichtgeving over verschijnt in de media. ShrinkLocker heeft die potentie, want het maakt misbruik van een heel belangrijk onderdeel van Windows: BitLocker.
De BitLocker van Windows bestaat sinds 2007 en is ervoor om de gegevens op je harde schijf te vergrendelen. Cybercriminelen kunnen wel bij je hardeschijf komen, maar ze kunnen hem niet lezen. Waarschijnlijk voel je het al aankomen: dat kan met Shrinklocker dus wel. Er wordt data versleuteld door BitLocker te gebruiken.
Bitlocker is iets wat je niet vaak ziet, maar soms als je een vastloper hebt of bij het opstarten komt het voorbij: een blauw scherm waarbij dan wordt gevraagd om je BitLocker-sleutel. Soms is het even schrikken, maar BitLocker is er om je data veilig te stellen. Dat dat echter niet altijd lukt, blijkt uit het feit dat ransomware als ShrinkLocker bestaat. Maar hoe werkt het precies?
Op systemen in onder andere Mexico, Indonesië en Jordanië is deze malware gevonden. Het draagt zijn naam omdat het elk non-bootdeeltje verkleind en de ruimte die over is gebruikt voor nieuwe deeltjes, die wat minder vriendelijk zijn van aard. Onderzoekers van Karspersky die de malware op het spoor kwamen zeggen dat ShrinkLocker na installatie een VisualBasic-script draait dat de Windows-beheerinstrumenten aanschrijft en Win32_OperatingSystem om informatie in te winnen over het besturingssysteem. Vervolgens checkt het script bij elk object binnen het queryresultaat of het domein dat er staat anders is dan het doel. Is er een overeenkomst, dan wordt het script gesloten en verwijderd.
Het script blijft die informatie constant maar opvragen en verkleint de lokale, vaste schijf vervolgens steeds meer. Alleen lokale schijven, want netwerkschijven worden eerder gespot, waardoor de ransomware dan eerder wordt opgespoord. Uiteindelijk voert ShrinkLocker zijn doodsteek uit door de beveiligingen op de encryptiesleutel van BitLocker te verwijderen en een numeriek wachtwoord in te schakelen, zodat het ook niet zo makkelijk meer kan worden hersteld. Vervolgens komt het zelf met een eigen encryptiesleutel en heeft het de macht.
Het is helaas niet de eerste keer dat BitLocker het slachtoffer is van malware, en daardoor de mensen die het gebruiken. In 2022 waren er twee ransomware-aanvallen die BitLocker gebruikte om bestanden te versleutelen in de systeemopslag van geïnfecteerde apparaten. Het is ook lastig om iets aan ShrinkLocker te doen qua voorkomen, behalve zorgen voor goede endpoint-beveiliging, het gebruiken van een virusscanner voor dreiging en te zorgen voor een ijzersterk wachtwoord op je BitLocker, naast natuurlijk het regelmatig maken van een backup van je gegevens.
