Обнаружена программа-вымогатель, которая атакует устройства с использованием легитимной функции Windows
Злоумышленники создали вредоносный скрипт на VBScript — языке программирования, используемом для автоматизации задач на компьютерах под управлением Windows. Этот скрипт определяет версию установленной на устройстве Windows и в зависимости от неё активирует BitLocker. Вредоносное ПО способно заразить как новые, так и старые версии ОС, вплоть до Windows Server 2008.
Скрипт изменяет параметры загрузки операционной системы, после чего пытается зашифровать разделы жёсткого диска с помощью BitLocker. Создаётся новый загрузочный раздел для возможности последующей загрузки зашифрованного устройства. Злоумышленники также удаляют средства безопасности, предназначенные для защиты ключа шифрования BitLocker, чтобы пользователь не смог их восстановить.
Затем вредоносный скрипт отправляет на сервер злоумышленников информацию о системе и ключ шифрования, сгенерированный на заражённом устройстве. После этого он стирает следы своего присутствия: удаляет логи и файлы, которые могли бы помочь в расследовании атаки.
В финале вредоносное ПО принудительно блокирует доступ к системе, отображая на экране сообщение: «На вашем компьютере нет вариантов восстановления BitLocker».