Un nouveau moyen de contrer ShrinkLocker

[Juanito]

Decrypteur Bitdefender contre le ransomware ShrinkLocker

 
Bitdefender publie un décrypteur gratuit pour le ransomware ShrinkLocker
 
Une avancée dans la lutte contre le ransomware ShrinkLocker a été réalisée avec la publication par Bitdefender d'un décrypteur gratuit. ShrinkLocker, découvert en mai 2024, est une souche de ransomware unique qui exploite Windows BitLocker pour chiffrer les fichiers des victimes à l'aide d'un mot de passe généré de manière aléatoire. Les attaquants demandent généralement une rançon pour fournir la clé de décryptage.

Comment ShrinkLocker fonctionne

ShrinkLocker s'appuie sur l'instrumentation de gestion Windows (WMI) pour vérifier la présence de BitLocker et l'installer s'il n'y en a pas. Il ne chiffre ensuite que l'espace disque utilisé, en optimisant la vitesse, et désactive les mécanismes de protection standard. Le ransomware supprime les clés de récupération et les protecteurs, ce qui rend les méthodes de récupération traditionnelles quasiment impossibles. Il se propage sur les réseaux en manipulant des stratégies de groupe Active Directory et en ciblant les appareils connectés.


Le décrypteur de Bitdefender

Le décrypteur exploite une fenêtre spécifique au cours du processus d'attaque lorsque les protecteurs de BitLocker sont supprimés mais que les configurations sont encore récupérables. L'outil peut récupérer le mot de passe généré aléatoirement, inverser le chiffrement et restaurer les données. Il prend en charge les versions récentes de Windows, notamment Windows 10, 11 et Windows Server.

Comment l’utiliser et quelles sont ses limites?

Les victimes peuvent exécuter l'outil à partir d'une clé USB en mode de récupération, en utilisant l'invite de commande pour lancer le processus de décryptage. Bien qu'il soit efficace peu de temps après une attaque, il ne peut pas récupérer les fichiers chiffrés par d'autres méthodes ou à partir d'anciennes versions de Windows.

Sources:

https://www.bleepingcomputer.com/news/se...-password/
https://therecord.media/bitdefender-rele...rinklocker
https://thehackernews.com/2024/11/free-d...ocker.html

[EnZ0]

Voilà une excellente nouvelle pour la cybersécurité ! Cette avancée de Bitdefender montre bien l'évolution constante du combat entre attaquants et défenseurs.

Ce qui est particulièrement intéressant avec ShrinkLocker, c'est sa façon astucieuse de détourner un outil légitime comme BitLocker. D'ailleurs, Microsoft a récemment renforcé les mécanismes de protection de BitLocker dans sa dernière mise à jour cumulative, notamment en ajoutant une authentification à deux facteurs obligatoire pour les modifications critiques.

Pour les administrateurs système, il est crucial de noter que ce ransomware exploite les stratégies de groupe Active Directory. Une bonne pratique serait de mettre en place une surveillance active des modifications de GPO et de limiter strictement les privilèges d'administration. La sauvegarde régulière des configurations GPO devient aussi indispensable (Active Directory et les GPO n'auront bientôt plus aucun secret pour vous).

Le décrypteur de Bitdefender arrive à point nommé, mais rappelons que la prévention reste la meilleure défense. La mise en place d'une stratégie de sauvegarde robuste (3-2-1), combinée à une sensibilisation des utilisateurs et une veille sur les menaces émergentes, reste primordiale (cela n'aura bientôt plus de secret non plus pour vous).

Pour ceux qui voudraient approfondir leurs connaissances en sécurité Windows, je conseille vivement de se pencher sur les mécanismes de BitLocker et les bonnes pratiques de gestion des GPO. C'est le genre de compétences qui fait la différence sur le marché du travail.