卡巴斯基讲述了如何保护自己免受 ShrinkLocker 勒索软件病毒的侵害

最近，卡巴斯基实验室发现了一种名为 ShrinkLocker 的新型勒索软件，它利用了 Windows 中的 BitLocker 安全功能。恶意脚本阻止访问设备所有者的数据，并要求赎金才能解锁。卡巴斯基专家就如何避免阻止您的数据提出了建议。

图片来源：Copilot

BitLocker 是一种驱动器加密工具，于 2007 年首次在 Windows Vista 中引入。该功能用于加密整个卷，以防止在物理访问磁盘时未经授权访问数据。从 Windows 10 开始，BitLocker 默认使用 128 位和 256 位 XTS-AES 加密算法，该算法针对基于加密数据操作的攻击提供额外保护。

在墨西哥、印度尼西亚和约旦，已经报告了使用 ShrinkLocker 加密系统的案例。攻击的目的是将每个逻辑驱动器的大小减少 100 MB，然后从释放的空间中创建相同大小的新分区——因此得名 ShrinkLocker。

据专家介绍，攻击者正在不断改进他们的方法以避免被发现。在这种情况下，他们利用合法的加密功能来阻止对用户文件的访问。顺便说一句，这不是 BitLocker 第一次被恶意软件使用。据 Arstechnica 报道，据报道，2022 年，伊朗勒索者也使用此工具进行加密。同年，俄罗斯公司Miratorg遭到使用BitLocker加密所有文件的储物柜的攻击。

在设备上运行时，ShrinkLocker 将执行一个 VisualBasic 脚本，该脚本使用 WMI 收集有关操作系统和硬件平台的信息。如果检测到过时的 Windows XP、2000、2003 或 Vista，则脚本将自动终止。接下来，执行操作以根据 Windows 版本调整磁盘大小。同时，忽略网络驱动器，以免引起保护系统的反应。

攻击的最后阶段是禁用 BitLocker 的内置加密密钥恢复工具并设置数字密码。这样做是为了阻止合法所有者访问加密数据。接下来，使用基于数字、字母和特殊字符的随机算法生成唯一的 64 位密码。重新启动后，系统会提示用户输入此密码以解密磁盘。

在没有加密密钥的情况下恢复数据非常困难，因为每个受攻击系统的密码生成算法都是唯一的。针对 ShrinkLocker 的特定保护尚未开发出来。卡巴斯基实验室建议如下：

• 启用网络流量的日志记录和监控，配置 GET 和 POST 请求的日志记录，因为在感染的情况下，对攻击者域的请求可能包含密码或密钥。
• 监视与 VBS 和 PowerShell 执行相关的事件，然后将已注册的脚本和命令保存到外部存储库。
• 尽可能使用强密码和双因素身份验证。
• 定期备份重要数据。

此外，防病毒软件可以帮助在早期阶段检测和阻止此类攻击。