Бесплатный декриптор теперь доступен жертвам шифровальщика ShrinkLocker

Бесплатный декриптор теперь доступен жертвам шифровальщика ShrinkLocker

Бесплатный декриптор теперь доступен жертвам шифровальщика ShrinkLocker

Специалисты румынской антивирусной компании Bitdefender выпустили бесплатную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя ShrinkLocker.

В мае мы рассказывали о кампаниях на тот момент нового вымогателя ShrinkLocker, который использовал легитимную функциональность Windows — BitLocker.

Эксперты Bitdefender недавно провели анализ вредоноса, чтобы вычислить особенности его подхода. В частности, выяснилось, что шифровальщик предоставляет определённое окно для восстановления данных. Поймать этот момент можно сразу после снятия защиты с зашифрованных BitLocker дисков.

Проникнув в систему, операторы ShrinkLocker создают две задачи в планировщике Windows, которые помогают вымогателю запуститься. Первым стартует скрипт Check.vbs, копирующий вредонос на каждую машину в домене жертвы.

Вторая задача подключается спустя два дня, выполняя скрипт для установки шифровщика — Audit.vbs. Далее идёт сбор информации о системе и проверка наличия BitLocker.

ShrinkLocker успешно отрабатывает в системах Windows 10, Windows 11, Windows Server 2016 и Windows Server 2019.

 

Специалисты Bitdefender выявили интересный баг, из-за которого вымогатель не всегда может перезагрузить компьютер, выдавая ошибку «Privilege Not Held». В результате VBScript-задача попадает в бесконечный цикл.

Даже если машину перезагрузит сам пользователь, скрипт не отработает должным образом, а значит, цепочка атаки на этом месте прерывается. В процессе работы вымогатель генерирует случайный пароль, основанный на системной информации.

Далее этот пароль загружается на сервер злоумышленников. Согласно замыслу, после перезагрузки пользователь должен ввести пароль для разблокировки устройства. Помимо этого, ShrinkLocker вносит изменения в реестр ОС, отключает правила встроенного файрвола и удаляет файлы аудита.

Бесплатный дешифратор от Bitdefender лежит здесь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Yoast SEO Premium для WordPress нашли XSS-уязвимость

В популярном плагине Yoast SEO Premium для WordPress обнаружена новая уязвимость — CVE-2025-11241. Проблема затрагивает версии 25.7-25.9 и получила 6,4 балла по шкале CVSS (средняя степень риска).

Баг связан с некорректным регулярным выражением, используемым для очистки атрибутов в контенте постов.

Из-за ошибки авторы с правами уровня Contributor и выше могли внедрять в записи произвольные HTML-атрибуты, включая обработчики JavaScript-событий. В результате в браузере администратора или посетителей запускался вредоносный скрипт.

Хотя эксплуатация требует наличия учётной записи с доступом к публикации материалов, для сайтов с несколькими авторами риск вполне реальный. Через такие XSS-вставки злоумышленники могут воровать cookies, повышать свои привилегии или запускать другие атаки.

Команда разработчиков Yoast отреагировала оперативно: уязвимость закрыли в версии 26.0. В changelog отдельно указано, что дефект позволял пользователям с правами edit_posts (Contributor+) запускать XSS при включённой ИИ-функции плагина.

Помимо патча, обновление исправило проблемы с удалением редиректов, баги в подсказках для RTL-языков и поведение фильтров и поиска на странице редиректов. Минимальная версия плагина теперь — 26.0, чтобы пользователи как можно быстрее перешли на исправленный релиз.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru