正在阅读：卡巴斯基专家发现使用 BitLocker 加密企业数据的新型勒索软件卡巴斯基专家发现使用 BitLocker 加密企业数据的新型勒索软件

卡巴斯基发现了使用微软 BitLocker 试图加密企业文件的勒索软件攻击。威胁行为者移除了恢复选项，以防止文件被恢复，并使用了一个带有新功能的恶意脚本：它能够检测特定的Windows版本，并根据Windows版本启用BitLocker。在墨西哥、印度尼西亚和约旦都发现了这种被称为 "ShrinkLocker "的勒索软件及其变种。攻击者的目标是钢铁和疫苗制造企业，还包括一个政府实体。

卡巴斯基全球应急响应团队报告称，威胁行为者正在使用VBScript（一种用于在 Windows 计算机上自动执行任务的编程语言）创建了一个恶意脚本，该脚本具有以前未报告过的功能，可最大限度地扩大攻击的破坏力。其新颖之处在于，脚本会检查系统上当前安装的Windows版本，并相应地启用BitLocker功能。据称，通过这种方式，该脚本可感染新系统和旧系统，最早可以感染Windows Server 2008。

如果操作系统版本适合攻击，脚本就会更改启动设置，并尝试使用 BitLocker 加密整个驱动器。它会建立一个新的启动分区，实质上是在计算机驱动器上建立一个单独的分区，其中包含用于启动操作系统的文件。这一行为旨在稍后阶段锁定受害者。攻击者还删除了用于保护BitLocker加密密钥的保护程序，使受害者无法恢复它们。

恶意脚本随后将有关系统和在受感染计算机上生成的加密密钥的信息发送到威胁行为者控制的服务器。之后，它还会通过删除日志和各种可以用作线索和有助于调查攻击的文件来掩盖自己的踪迹。

最后，恶意软件会强制关闭系统——通过在单独的启动分区中创建和重新安装文件来实现这一功能。受害者会看到屏幕上显示以下BitLocker信息： “您的计算机已没有 BitLocker 恢复选项”。

卡巴斯基将这个脚本命名为“ShrinkLocker”，因为这个名字突出了分区调整大小这一关键步骤，这对于攻击者确保系统在加密文件的情况下正确启动至关重要。

“这个案例特别令人担忧的是，BitLocker原本是为了减轻数据盗窃或泄露的风险而设计的，现在却被对手重新用于恶意目的。一种安全措施以这种方式被武器化，这真是一种残酷的讽刺。对于使用 BitLocker 的公司来说，确保密码安全和恢复密钥的安全存储至关重要。定期进行离线备份和测试也是必不可少的保障措施，”卡巴斯基全球应急响应团队事件响应专员Cristian Souza解释说。

该事件的详细技术分析请参阅Securelist。卡巴斯基专家建议采取以下缓解措施，以防止攻击者利用报告中描述的功能：

· 使用强大且配置正确的安全软件来检测试图滥用BitLocker的威胁。实施托管检测与响应（MDR）以主动搜寻威胁。

· 限制用户权限，防止未经授权启用加密功能或修改注册表键值。

· 开启网络流量日志记录和监控，捕获 GET 和 POST 请求，因为感染的系统可能会向攻击者的域传输密码或密钥。

· 监控VBScript和PowerShell执行事件，将记录的脚本和命令保存到外部存储库，以便在本地删除后保留活动记录。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.