Các chuyên gia an ninh mạng tại Kaspersky mới phát hiện ra một loại mã độc tống tiền mới có tên là ShrinkLocker, sử dụng công cụ mã hóa BitLocker của Windows để mã hóa dữ liệu trên máy tính của nạn nhân. Ransomware này đã tấn công nhiều cơ quan chính phủ, công ty sản xuất và dược phẩm tại Mexico, Indonesia và Jordan.
ShrinkLocker hoạt động bằng cách thu nhỏ các phân vùng không khởi động trên ổ cứng, sau đó tạo ra các phân vùng khởi động mới và sử dụng BitLocker để mã hóa dữ liệu trên đó. Việc làm này đẩy người dùng vào tình trạng không thể truy cập vào dữ liệu của mình và yêu cầu họ phải trả tiền chuộc để lấy lại quyền kiểm soát.
Một đặc điểm nổi bật của ShrinkLocker là không yêu cầu tiền chuộc thông qua ghi chú như các phần mềm mã độc khác, thay vào đó, nó sử dụng địa chỉ email để đánh dấu các phân vùng khởi động mới, có lẽ để nạn nhân liên hệ với kẻ tấn công. Ngoài ra, sau khi mã hóa dữ liệu, ShrinkLocker tiếp tục xóa tùy chọn khôi phục BitLocker trên Windows, làm cho nạn nhân không thể khôi phục khóa mã hóa và hoàn toàn mất quyền kiểm soát dữ liệu.
ShrinkLocker loại bỏ cả khả năng khôi phục BitLocker trên Windows.
Mặc dù BitLocker là một tính năng bảo mật hợp pháp của Windows, nhưng ShrinkLocker đã lợi dụng nó để gây ra thiệt hại lớn cho nạn nhân. Các chuyên gia cảnh báo rằng đây là một mối đe dọa mới và nguy hiểm, cần được cảnh giác và phòng tránh.
Để đối phó với tình hình hiện tại, người dùng Windows được khuyến khích cập nhật hệ điều hành và phần mềm chống virus thường xuyên, sao lưu dữ liệu quan trọng định kỳ và tránh mở các tệp tin hoặc liên kết đáng ngờ từ email hoặc trang web không rõ nguồn gốc.
