Исследователь безопасности Ким Дваш из Israel Aerospace Industries опубликовал демонстрационный инструмент GhostLock, который показывает слабое место в штатной работе Windows с файлами. Техника не шифрует данные и не удаляет их, но может остановить доступ к документам на локальном диске или в сетевых SMB-папках.
Для компаний это риск простоя: бухгалтерия, юристы или производство могут внезапно потерять доступ к общим файлам. Опасность усиливает то, что для атаки не нужны права администратора — достаточно обычной доменной учётной записи.
Что именно делает GhostLock
GhostLock использует API (от англ. application programming interface — программный интерфейс) Windows CreateFileW. Это легитимный механизм: приложения открывают через него файлы, задают режим чтения, записи и правила совместного доступа.
Ключевой параметр — dwShareMode. Если процесс открывает файл с режимом dwShareMode = 0, Windows даёт ему исключительный доступ. Другие программы и пользователи в этот момент получают ошибку STATUS_SHARING_VIOLATION — система сообщает, что файл уже занят.
В нормальной работе такой режим нужен, например, чтобы приложение не получило повреждённый файл во время записи. GhostLock показывает, как тот же механизм можно использовать массово: открывать много файлов и держать их занятыми, пока процессы остаются активными.
Почему удар приходится по сетевым папкам
Особый риск связан с SMB (от англ. Server Message Block — протокол доступа к общим файлам в сети). Во многих организациях через SMB работают общие папки отделов, архивы договоров, шаблоны документов, таблицы учёта и файлы приложений.
По данным BleepingComputer, опубликованный инструмент умеет рекурсивно открывать большое число файлов на SMB-ресурсах. Пока открытые дескрипторы активны, новые попытки доступа заканчиваются ошибками совместного использования.
Для пользователя это выглядит как обычный сбой: документ не открывается, программа зависает, а поиск уводит в бытовые запросы вроде «discord не запускается на windows 10» или «как ускорить ютуб windows». Но если одновременно ломается доступ к общим папкам, причина может быть не в приложении и не в качестве связи, а на файловом сервере.
Чем это отличается от шифровальщика
GhostLock не похож на классические программы-вымогатели. Он не переписывает содержимое файлов, не меняет расширения и не требует ключ для расшифровки. Когда SMB-сессия закрывается, процесс завершается или сервер перезагружают, Windows освобождает дескрипторы, и доступ возвращается.
Ким Дваш прямо описал эффект как нарушение работы, а не уничтожение данных. «Да, воздействие связано с нарушением работы, а не с разрушением. Сходство с вымогателями — в окне простоя, а не в потере данных», — сказал он BleepingComputer.
Это не делает проблему безобидной. Несколько часов без доступа к файловому хранилищу могут сорвать платежи, отгрузки, подготовку отчётности или работу службы поддержки. Если атака идёт с нескольких заражённых устройств одновременно, нагрузка на администраторов растёт; похожую роль массово скомпрометированных устройств мы разбирали в материале о том, как ботнет xlabs_v1 заражает Android-устройства через открытый ADB.
Почему защитным системам сложно заметить атаку
Многие средства защиты ищут массовую запись файлов, подозрительное шифрование, удаление теневых копий или запуск известных вредоносных модулей. GhostLock действует иначе: он создаёт много легитимных запросов на открытие файлов.
По словам исследователя, надёжный признак находится на уровне файлового сервера: число открытых файлов за одну сессию с ShareAccess = 0. Такой показатель обычно виден в интерфейсах управления хранилищем, а не в журналах событий Windows, телеметрии EDR (от англ. endpoint detection and response — обнаружение и реагирование на рабочих станциях) или сетевых потоках.
Это важный урок для администраторов Windows-сред. Обновления и настройки рабочих станций нужны, но для защиты данных нельзя ограничиваться только ими. О том, какие изменения Windows стоит оценивать с точки зрения безопасности, мы писали в статье Windows 11 получила новые бета-сборки: что важно для безопасности.
Что сделать сейчас
- Проверьте, видит ли ваша система мониторинга на файловых серверах число открытых файлов по одной пользовательской сессии.
- Настройте оповещения на аномально большое количество файлов, открытых в режиме исключительного доступа.
- Ограничьте права обычных пользователей на сетевых папках по принципу минимального доступа: не всем отделам нужны права на все архивы.
- Разделяйте критичные хранилища по ролям и подразделениям, чтобы сбой в одной зоне не останавливал всю компанию.
- Подготовьте короткую инструкцию для поддержки: массовые ошибки доступа к файлам надо сразу сверять с состоянием SMB-сессий, а не разбирать как отдельные жалобы пользователей.
- Регулярно проверяйте резервные копии. GhostLock не уничтожает файлы, но похожий шум может отвлекать от настоящей кражи или порчи данных.
- Не работайте с корпоративными документами через случайные публичные сети без защиты соединения; в поездках и кафе используйте сервис безопасного интернет-соединения, который помогает снизить риск перехвата данных.
- Если доступ к общим папкам внезапно пропал у многих сотрудников, фиксируйте время, имя сервера, учётные записи и список папок — эти данные помогут быстрее найти источник сбоя.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.