Kostenloser Dekryptor für ShrinkLocker

Nach Analyse der Funktionsweise von ShrinkLocker entdeckten die Experten der Bitdefender Labs eine Möglichkeit, um Dateien unmittelbar nach Aufheben der böswillig missbrauchten Schutzmechanismen für mit BitLocker verschlüsselte Laufwerke wiederherzustellen. Das Entschlüsselungsprogramm ist kostenlos zum Download frei verfügbar.

Einfaches Tool statt komplexer Algorithmen

ShrinkLocker, das im Mai 2024 identifiziert wurde, ist eine einfache, aber effektive Ransomware, welche die BitLocker-Konfigurationen von Windows ändert, um die Laufwerke eines Systems zu verschlüsseln. Im Gegensatz zu den meisten modernen Ransomware-Programmen, die auf ausgefeilten Verschlüsselungsalgorithmen beruhen, verfolgt ShrinkLocker einen sehr einfachen Ansatz. ShrinkLocker ändert die BitLocker-Konfigurationen, um die Laufwerke eines Systems zu verschlüsseln.

Die Malware überprüft zunächst, ob Bitlocker auf einem Opfersystem aktiviert ist. Wenn nicht, erfolgt die Installation von Bitlocker und das System wird neu verschlüsselt. Ein per Zufall generiertes Passwort lädt die Malware auf einem von den Angreifern kontrollierten Server hoch. Nach Reboot des Systems fordert der modifizierte Bitlocker den Nutzer auf, dieses ihm unbekannte Passwort zum Entschlüsseln des Laufwerks einzugeben. Auf dem BitLocker-Screen erscheint die Kontaktmail der Angreifer, um gegen Lösegeld einen Dekryptorschlüssel der Angreifer zu erhalten.

Seine Einfachheit macht den Angriff besonders attraktiv für individuell agierende Bedrohungsakteure, die möglicherweise nicht Teil eines größeren Ransomware-as-a-Service (RaaS)-Ökosystems sind. Erste Programmierer von ShrinkLocker haben das Tool möglicherweise vor über einem Jahrzehnt für legale und nützliche Zwecke geschrieben, spätere Hacker das Tool nun für böswillige Absichten zweckentfremdet.