新的勒索軟體透過劫持 BitLocker 功能來針對 Windows 電腦。透過利用微軟的加密模組,網路犯罪分子希望不被注意到...
卡巴斯基專家發現了一種針對 Windows 電腦的新勒索軟體。受洗收縮置物櫃,該惡意軟體依賴BitLocker,微軟整合的加密模組。該模組於 2007 年隨 Windows Vista 一起推出,允許用戶透過完全加密硬碟機來保護其資料。
該功能被網路犯罪分子劫持,促進了勒索軟體活動。正如卡巴斯基所解釋的那樣,事實“使用作業系統本身的功能”東方“逃避檢測的最佳方法之一”。
針對您的 Windows 版本的網路攻擊
一旦成功感染目標計算機,ShrinkLocker首先會查詢安裝的Windows版本在機器上。事實上,駭客已經養成了只針對特定版本的作業系統進行攻擊的習慣。如果電腦執行的版本早於 Windows Vista,勒索軟體將不會攻擊資料。硬碟資訊不會加密,惡意軟體將自動刪除。
在其他情況下,ShrinkLocker 依賴該實用程式磁碟管理Windows 縮小硬碟中不包含作業系統的所有部分。釋放的空間用於重新安裝啟動文件,使勒索軟體能夠操縱作業系統啟動。該過程也使資料恢復變得複雜。
然後,病毒利用 Bitlocker 來加密儲存的資料。它會停用內建保護來保護 BitLocker 加密金鑰,將其刪除,然後安裝自己的保護。該惡意軟體會刪除所有預設保護程序,例如密碼、恢復金鑰和安全啟動設備,使所有者能夠重新獲得對加密資料的存取權限。它最終產生一個 64 個字元的加密金鑰。為了結束攻擊,勒索軟體會強制系統關閉。對卡巴斯基來說,幾乎不可能使用者可以透過 Bitlocker 成功重新獲得對檔案的存取權限。
網路犯罪分子將聯絡電子郵件地址作為標籤放入新的啟動分區。透過這個位址,受害者被邀請協商加密金鑰以重新獲得對其資料的存取權限。
戰術細化
根據卡巴斯基的說法,ShrinkLocker的存在是“證明攻擊者不斷完善其策略以逃避檢測”。這種新型勒索軟體已被用於攻擊墨西哥、印尼和約旦的企業和政府實體。
這不是第一次Bitlocker 被濫用於犯罪活動。 2022年底,微軟發現伊朗駭客已經在利用該模組發動勒索軟體攻擊。不久之後,一家俄羅斯公司在利用 Bitlocker 的網路攻擊中失去了對其數據的存取權限,回憶道藝術技術。
此外,Windows 功能被網路犯罪分子用作武器的情況並不少見。最近,微軟意識到駭客利用 Quick Assist 功能部署勒索軟體。兩個月前,俄羅斯駭客利用「search-ms:」URI 協議處理程序和「search:」應用程式協議竊取憑證。
來源 : 卡巴斯基
