Loan Data

俄羅斯著名電腦安全跨國公司卡巴斯基實驗室報告稱，存在一種新型勒索軟體，該軟體利用 BitLocker 進行攻擊，稱為ShrinkLocker。據該公司稱，這次攻擊使用微軟自己的BitLocker來嘗試加密公司檔案。此攻擊也會刪除恢復選項以防止檔案被恢復。為了實現其目的，使用了惡意腳本來檢測特定版本的 Windows 並相應地啟動 BitLocker。

受這種新型 ShrinkLocker 勒索軟體影響的企業包括鋼鐵和疫苗製造公司以及政府實體。它還表明，該勒索軟體的首次攻擊發生在墨西哥、印尼和約旦。簡而言之，BitLocker 是 Windows 作業系統本身附帶的儲存加密軟體。

ShrinkLocker 使用 VBScript 程式語言。

卡巴斯基全球緊急應變團隊表示，ShrinkLocker 背後的主角使用的是 VBScript 程式語言。這允許您在基於 Windows 作業系統的電腦上自動執行任務。他們使用這種語言創建了一個具有 法屬圭亞那 電子郵件清單 100000 聯絡人資訊 以前未報告的特徵的惡意腳本，以最大限度地擴大損害範圍。

此類攻擊的主要新穎之處在於它能夠檢查所攻擊電腦的 Windows 作業系統版本。因此，該腳本被認為能夠感染 Windows Server 2008 之前的新系統和舊系統。

之後，它會創建一個與系統分離的新啟動分區，目的是在稍後階段阻止受害者。攻擊者也會刪除用於保護 BitLocker 加密金鑰的防護，以便受害者無法恢復它們。簡而言之，如果您的電腦感染了ShrinkLocker，您將不得不格式化系統。

然後，惡意腳本將系統資訊和受感染電腦上產生的加密金鑰傳送到威脅行為者控制的伺服器。然後，它透過刪除日誌和各種有助於調查攻擊的檔案來掩蓋其痕跡。



最後一步，惡意軟體強制系統關閉，這是透過在單獨的啟動分割區上建立和重新安裝檔案來實現的。受害者會看到 BitLocker 螢幕，並顯示以下訊息：“您的 PC 上沒有更多 BitLocker 恢復選項。”

該勒索軟體旨在讓您丟失所有信息，而不是索要贖金。

到目前為止，負責「綁架」我們電腦上所有資訊的勒索軟體只有一個動機：索取贖金。在這種情況下，使用 ShrinkLocker 就不是這樣了。好吧，基本上不要求贖金，因此強制格式化設備才能繼續使用它。顯然，為了避免這些情況，始終建議使用具有所有相關安全性更新的現代作業系統。使用適合專業環境的安全軟體，避免使用盜版軟體。

其他更高級的選項包括限制使用者權限，或啟動網路流量的日誌記錄和監控，捕獲 GET 和 POST 請求。也建議定期備份。

卡巴斯基全球緊急應變團隊的事件回應專家克里斯蒂安·蘇扎(Cristian Souza) 表示：「本案中特別令人擔憂的是，BitLocker 最初旨在降低資料竊取或洩漏的風險，但已被對手用於惡意目的。

「安全措施以這種方式武器化，真是殘酷的諷刺。對於使用 BitLocker 的企業來說，確保強密碼和恢復金鑰的安全儲存至關重要。 “定期、離線和經過驗證的備份也是必不可少的保障措施。”