ShrinkLocker 勒索軟件曝光，濫用 BitLocker 加密你的文件

IT之家 5 月 25 日消息，卡巴斯基公司發(fā)布安全博文，表示在墨西哥、印度尼西亞和約旦發(fā)現(xiàn) ShrinkLocker 勒索軟件變種，現(xiàn)階段僅針對(duì)組織、制造業(yè)等商用 PC，通過(guò)濫用 BitLocker 進(jìn)行加密勒索。

ShrinkLocker 的特別之處在于使用 VBScript（一種從 Windows 11 24H2 開始廢棄的舊版 Windows 編程腳本）來(lái)識(shí)別主機(jī) PC 使用的特定 Windows 操作系統(tǒng)。

惡意腳本會(huì)運(yùn)行特定于操作系統(tǒng)的 BitLocker 設(shè)置，并在運(yùn)行 Vista 或 Windows Server 2008 或更新版本的 PC 上相應(yīng)啟用 BitLocker。如果操作系統(tǒng)太老，ShrinkLocker 就會(huì)自動(dòng)刪除，不會(huì)留下任何痕跡。

ShrinkLocker 會(huì)將所有硬盤分區(qū)縮小 100MB，并利用竊取的空間創(chuàng)建一個(gè)新的啟動(dòng)分區(qū)，將其命名為“Shrink”Locker。

ShrinkLocker 還會(huì)刪除所有用于保護(hù)加密密鑰的保護(hù)器，使受害者以后無(wú)法恢復(fù)加密密鑰。腳本會(huì)創(chuàng)建一個(gè) 64 個(gè)字符的隨機(jī)加密密鑰，并將其和有關(guān)計(jì)算機(jī)的其他信息發(fā)送給攻擊者，刪除存儲(chǔ) ShrinkLocker 活動(dòng)的日志，最后強(qiáng)制關(guān)閉計(jì)算機(jī)，使用新創(chuàng)建的引導(dǎo)分區(qū)完全鎖定和加密計(jì)算機(jī)上的所有磁盤。

設(shè)備一旦感染 ShrinkLocker 勒索軟件，硬盤往往會(huì)“變磚”，卡巴斯基認(rèn)為 ShrinkLocker 攻擊的制造者必須“廣泛了解”各種晦澀的 Windows 內(nèi)部結(jié)構(gòu)和實(shí)用程序，才能制造出幾乎不留痕跡的攻擊。

卡巴斯基的專家無(wú)法找到任何方法來(lái)識(shí)別攻擊源或信息發(fā)送源，但他們確實(shí)在一臺(tái)未配置 BitLocker 的受影響 PC 的單個(gè)硬盤上發(fā)現(xiàn)了 ShrinkLocker 腳本。

IT之家附上參考

• New ShrinkLocker ransomware uses BitLocker to encrypt your files

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。