ShrinkLocker 勒索软件
鉴于 Windows 中 Microsoft 强大的加密软件,许多勒索软件运营商都在质疑将加密锁定机制集成到恶意软件威胁中的必要性。网络安全专家强调的一个显著例子是 ShrinkLocker。此勒索软件变体会建立一个新的启动分区,以利用 Windows BitLocker 加密公司系统。
目录
威胁者滥用合法的 Windows 功能来锁定数据
勒索软件使用 BitLocker 加密计算机的情况并不少见。在一个案例中,一名威胁行为者利用 Windows 中的这一安全功能对比利时一家医院的 40 台服务器上的 100TB 数据进行了加密。同样,另一名攻击者利用 BitLocker 加密了莫斯科一家肉类生产商和分销商的系统。微软于 2022 年 9 月发出警告,透露一名伊朗政府支持的攻击者使用 BitLocker 加密运行 Windows 10、Windows 11 或 Windows Server 2016 及更新版本的系统。
然而,在仔细研究 ShrinkLocker 后,专家警告称,这种威胁表现出以前未公开的功能,旨在扩大攻击的影响范围。
仅当满足某些规范时才会执行 ShrinkLocker
ShrinkLocker 用 Visual Basic Scripting (VBScript) 编写,这是微软早在 1996 年就推出的一种语言,现在即将退出市场。该威胁的功能之一是利用 Windows 管理规范 (WMI) 和 Win32_OperatingSystem 类来识别目标机器上运行的特定 Windows 版本。
攻击仅在特定条件下才会进行,例如当前域与目标匹配,操作系统 (OS) 版本比 Vista 新。否则,ShrinkLocker 会自动结束并自我删除。当目标满足攻击条件时,恶意软件会利用 Windows 中的磁盘分区实用程序将每个非启动分区缩小 100MB,将未分配的空间划分为大小相同的新主卷。
研究人员指出,在 Windows 2008 和 2012 中,ShrinkLocker 勒索软件最初会将引导文件与其他卷的索引一起保存。研究人员在技术分析中概述了在其他 Windows 操作系统版本上执行了类似的调整大小操作,尽管代码段不同。随后,该恶意软件使用 BCDEdit 命令行工具在新生成的分区上重新安装引导文件。
ShrinkLocker 勒索软件导致整个驱动器分区上的数据无法使用
ShrinkLocker 还会修改注册表项,以禁用远程桌面连接或在没有可信平台模块 (TPM) 的主机上启用 BitLocker 加密。此专用芯片提供基于硬件的安全相关功能。
ShrinkLocker 背后的威胁者不会投放勒索文件来与受害者建立沟通渠道。相反,他们提供了一个联系电子邮件地址(onboardingbinder@proton.me、conspiracyid9@protonmail.com)作为新启动分区的标签。但是,除非管理员使用恢复环境或通过其他诊断工具启动设备,否则他们看不到此标签,因此很容易被忽略。
加密驱动器后,威胁行为者会删除 BitLocker 保护器(例如,TPM、PIN、启动密钥、密码、恢复密码、恢复密钥),以拒绝受害者恢复 BitLocker 加密密钥的任何选项,该密钥会发送给攻击者。
为加密文件而生成的密钥是 64 个字符的组合,由 0-9 数字、特殊字符和全字母句子“The quick brown fox jumps over the lazy dog”随机乘法和变量替换组成。密钥通过 TryCloudflare 工具提供,这是一项合法服务,开发人员可以在不向 CloudFlare 的 DNS 添加站点的情况下试验 CloudFlare 的 Tunnel。
在攻击的最后阶段,ShrinkLocker 强制关闭系统以使所有更改生效,并且用户的驱动器被锁定并且没有 BitLocker 恢复选项。
ShrinkLocker 威胁行为者可能并非受经济驱动
BitLocker 提供了在恢复屏幕上制作个性化消息的选项,为向受害者显示勒索信息提供了理想的平台。没有显眼的勒索信和仅指定为驱动器标签的电子邮件可能表明这些攻击本质上更具破坏性,而不是出于经济动机。
研究人员发现,ShrinkLocker 有多种变体,已针对政府实体以及墨西哥、印度尼西亚和约旦的钢铁和疫苗制造行业的组织进行部署。
强烈建议在系统上使用 BitLocker 的公司确保恢复密钥的安全存储,并定期进行离线备份并进行定期测试。此外,还敦促组织部署正确配置的端点保护平台 (EPP) 解决方案,以检测 BitLocker 滥用行为、强制执行最低用户权限、全面记录和监控网络流量(包括 GET 和 POST 请求)、跟踪与 VBS 和 PowerShell 执行相关的事件,并记录相关脚本。
ShrinkLocker 勒索软件视频
提示:把你的声音并观察在全屏模式下的视频。
