4 декабря 2024

eur = 112.80 -1.51 (-1.32 %)

btc = 96 785.00$ 1 345.44 (1.41 %)

eth = 3 705.96$ 95.39 (2.64 %)

ton = 7.09$ 0.41 (6.17 %)

usd = 107.18 -0.57 (-0.52 %)

eur = 112.80 -1.51 (-1.32 %)

btc = 96 785.00$ 1 345.44 (1.41 %)

Форум

Новая программа-вымогатель атакует Windows-устройства с использованием BitLocker

1 минута на чтение
Новая программа-вымогатель атакует Windows-устройства с использованием BitLocker

Эксперты «Лаборатории Касперского» обнаружили атаки на корпоративные устройства с помощью новой программы-вымогателя, использующей BitLocker.

Злоумышленники создали вредоносный скрипт на VBScript, который проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует функционал BitLocker. Зловред может заражать как новые, так и старые версии ОС — вплоть до Windows Server 2008.

Скрипт изменяет параметры загрузки ОС, а потом пытается зашифровать разделы жёсткого диска с помощью BitLocker. Создаётся новый загрузочный раздел, чтобы позднее иметь возможность загружать зашифрованный компьютер. Злоумышленники также удаляют инструменты безопасности, используемые для защиты ключа шифрования BitLocker, чтобы пользователь потом не смог их восстановить.

Далее вредоносный скрипт отправляет на сервер злоумышленников информацию о системе и ключ шифрования, сгенерированный на заражённом компьютере. После этого он «заметает следы»: удаляет логи и различные файлы, которые могут помочь в исследовании атаки.

На заключительном этапе вредоносная программа принудительно блокирует доступ в систему. Жертва видит на экране сообщение: «На вашем компьютере нет вариантов восстановления BitLocker».

Чтобы снизить риски, эксперты рекомендуют:

  • использовать комплексное защитное решение для оперативного обнаружения и реагирования на угрозы;
  • ограничить привилегии корпоративных пользователей, чтобы предотвратить несанкционированную активацию функционала шифрования, а также изменение ключей реестра;
  • вести регистрацию сетевого трафика и осуществлять его мониторинг, в том числе GET- и POST-запросов, поскольку в результате заражения системы пароли и ключи шифрования могут передаваться на домены злоумышленников;
  • отслеживать события, связанные с VBScript и PowerShell, и хранить зарегистрированные скрипты и команды во внешнем репозитории, чтобы обеспечить их активность в случае локального удаления;
  • проводить анализ инцидентов для выявления начального вектора атак и предотвращения подобных атак в будущем.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
94449107-927d-4577-b48f-c1456847429b-изображение-0c519ec48-e08a-4f85-8b51-fc8a3cb6c2f0-изображение-1

GigaChat Max: коротко о главном

Т-Банк запустил сервис для защиты близких от мошенников

Полная версия 
3fc280fe-54e7-47c3-9e8c-94da9639add3-изображение-0

GigaChat Max: коротко о главном

Владелец телеканала «Спаса» пожаловался на Google в американскую SEC из-за замалчивания перед инвесторами о российском штрафе в 8 ундециллионов рублей

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 298
Газпромбанк
МТС
Т-Банк
X5 Tech
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131