新的勒索软件通过劫持 BitLocker 功能来针对 Windows 计算机。通过利用微软的加密模块,网络犯罪分子希望不被注意到......
卡巴斯基专家发现了一种针对 Windows 计算机的新勒索软件。受洗收缩储物柜,该恶意软件依赖于BitLocker,微软集成的加密模块。该模块于 2007 年随 Windows Vista 一起推出,允许用户通过完全加密硬盘驱动器来保护其数据。
该功能被网络犯罪分子劫持,促进了勒索软件活动。正如卡巴斯基解释的那样,事实“使用操作系统自身的功能”东方“逃避检测的最佳方法之一”。
针对您的 Windows 版本的网络攻击
一旦成功感染目标计算机,ShrinkLocker首先会查询安装的Windows版本在机器上。事实上,黑客已经养成了只针对特定版本的操作系统进行攻击的习惯。如果计算机运行的版本早于 Windows Vista,勒索软件将不会攻击数据。硬盘信息不会被加密,恶意软件将被自动删除。
在其他情况下,ShrinkLocker 依赖于该实用程序磁盘管理Windows 缩小硬盘驱动器中不包含操作系统的所有部分。释放的空间用于重新安装启动文件,使勒索软件能够操纵操作系统启动。该过程也使数据恢复变得复杂。
然后,病毒利用 Bitlocker 来加密存储的数据。它会禁用内置保护来保护 BitLocker 加密密钥,将其删除,然后安装自己的保护。该恶意软件会删除所有默认保护程序,例如密码、恢复密钥和安全启动设备,使所有者能够重新获得对加密数据的访问权限。它最终生成一个 64 个字符的加密密钥。为了结束攻击,勒索软件会强制系统关闭。对于卡巴斯基来说,几乎不可能用户可以通过 Bitlocker 成功重新获得对文件的访问权限。
网络犯罪分子将联系电子邮件地址作为标签放入新的启动分区中。通过这个地址,受害者被邀请协商加密密钥以重新获得对其数据的访问权限。
战术细化
根据卡巴斯基的说法,ShrinkLocker的存在是“证明攻击者不断完善其策略以逃避检测”。这种新型勒索软件已被用于攻击墨西哥、印度尼西亚和约旦的企业和政府实体。
这不是第一次Bitlocker 被滥用于犯罪活动。 2022年底,微软发现伊朗黑客已经在利用该模块发起勒索软件攻击。不久之后,一家俄罗斯公司在利用 Bitlocker 的网络攻击中失去了对其数据的访问权限,回忆道艺术技术。
此外,Windows 功能被网络犯罪分子用作武器的情况并不少见。最近,微软意识到黑客利用 Quick Assist 功能部署勒索软件。两个月前,俄罗斯黑客利用“search-ms:”URI 协议处理程序和“search:”应用程序协议窃取凭证。
来源 : 卡巴斯基
