ShrinkLocker勒索软件于2024年5月首次被卡巴斯基的研究人员发现。与现代勒索软件不同,它不依赖复杂的加密算法,而是通过修改BitLocker配置来加密系统的驱动器。首先,它检查是否启用了BitLocker,如果没有,则安装它。然后,它使用随机生成的密码重新加密系统。这个唯一的密码被上传到攻击者控制的服务器。该恶意软件还禁用默认保护,以防止意外加密,并使用“-UsedSpaceOnly”标志,以更快地加密仅占用的磁盘空间。随机密码是从网络流量和内存数据生成的,这使得暴力破解变得困难。ShrinkLocker还删除和重新配置BitLocker保护器,使得恢复加密密钥变得复杂。系统重新启动后,用户被提示输入密码以解锁加密的驱动器。攻击者的联系邮箱显示在BitLocker屏幕上,指示受害者支付赎金以获取解密密钥。
“攻击者的邮箱显示,要求支付赎金以获取解密密钥。通过使用组策略对象(GPOs)和计划任务,勒索软件可以在短短10分钟内在网络中加密多个系统,允许快速、广泛地妥协一个域。”比特梵德发布的帖子中写道。“这种简单性使得它对个体威胁者具有吸引力,即使是那些不属于更大的勒索软件即服务(RaaS)操作的人。”
比特梵德的研究人员推测,这款勒索软件借用了十多年前编写的一个良性应用程序的代码。这段代码足够简单,即使经验不足的攻击者也能使用。然而,调查显示了一个好消息:可以开发一个解密工具,并配置BitLocker来减轻此类攻击。比特梵德观察到一起针对医疗机构的攻击,攻击者加密了Windows 10、Windows 11和Windows Server设备,包括备份。加密过程仅需2.5小时,导致该机构无法访问关键系统,并可能阻碍患者护理。比特梵德已经发布了一个免费的解密工具来帮助受害者恢复他们的文件。“然而,在ShrinkLocker的情况下,我们发现了一个特定的机会窗口,可以在从BitLocker加密磁盘中删除保护程序后立即进行数据恢复。”比特梵德发布的帖子中写道。“我们决定公开发布这个解密工具,添加到我们之前发布的32个解密工具的集合中。”
解密过程可能需要一些时间,具体取决于受害者系统的硬件和加密的复杂性。完成后,解密工具会自动解锁驱动器并禁用智能卡认证。主动监控Windows事件日志,特别是来自“Microsoft-Windows-BitLocker-API/Management”源的日志,可以帮助组织在早期阶段检测到BitLocker攻击,例如攻击者测试加密能力时。监控事件ID 776(保护程序删除)和773(暂停)可能特别有用。
此外,配置组策略以将BitLocker恢复信息存储在Active Directory域服务(AD DS)中,并强制执行“在未将恢复信息存储到AD DS之前,不启用BitLocker以用于操作系统驱动器”的策略,可以防止未经授权的加密。该策略确保在没有安全存储恢复信息的情况下,BitLocker无法启用,从而降低基于BitLocker的攻击风险。
“ShrinkLocker是一种新型的勒索软件,利用一种独特的方法来加密系统。通过利用BitLocker,一种合法的Windows功能,它可以快速加密整个驱动器,包括系统驱动器。”报告总结道。
原文始发于微信公众号(黑猫安全):比特梵德发布了针对ShrinkLocker勒索软件的解密工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论