随着勒索软件的不断演化，攻击者开始使用先进的技术，包括从专业勒索软件即服务（RaaS）团伙泄露的源代码，以及现代编程语言如Rust和Go。这使得仅通过逆向工程开发解密工具变得越来越困难。然而，在ShrinkLocker的案例中，我们发现了一个特定的机会窗口，可以在从BitLocker加密磁盘中移除保护器之后立即恢复数据。我们决定将此解密工具公开发布，作为我们已发布的32个解密工具集合中的一部分。

1. 从以下链接下载解密工具：https://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe
2. 打开计算机并等待BitLocker恢复屏幕出现。当系统提示输入BitLocker恢复密钥时，按Esc进入BitLocker恢复模式。

3. 在BitLocker恢复屏幕上，选择“跳过此驱动器”。

4. 选择“疑难解答”，然后选择“高级选项”。

5. 从高级选项菜单中选择“命令提示符”。

6. 确保您已经准备好 BDShrinkLockerUnlocker.exe 文件。您可以将它复制到一个 USB 驱动器中，并将其插入计算机。在命令提示符中，导航到解密工具所在的驱动器号（例如 D:）。
7. 输入以下命令并按 Enter 键：D:BDShrinkLockerUnlocker.exe

注意：在启动解密工具后，您可以断开 USB 驱动器的连接。

8. 解密过程可能需要一些时间，这取决于您系统的硬件和加密的复杂性。请耐心等待。一旦解密完成，解密工具会自动解锁驱动器并禁用智能卡认证。

9. 重启后，您的电脑应该能够正常启动。

解密工具本质上是被动的，通常仅限于特定的时间窗口或软件版本。此外，虽然它们能够恢复对加密数据的访问，但无法阻止攻击者再次尝试并成功攻击。我们强烈建议您查看我们的"建议"部分，获取更多指导，包括配置 BitLocker 以尽量降低成功攻击风险的具体建议。

之前的公开报告对于ShrinkLocker主要攻击个人还是企业并不明确。我们对中东地区一家医疗公司的事件调查揭示了这一点，表明攻击者的目标是企业实体。

本节将概述ShrinkLocker攻击的具体案例，重点放在更广泛的攻击方法上，而不是特定的恶意软件变种。下一节将提供详细的恶意软件分析。

最初的入侵发生在一个未管理的系统上，这是攻击常见的起点。我们MDR团队调查的约70%的事件都始于未管理的设备，这突显了这些系统带来的显著风险。尽管确切的入侵来源仍不明确，但怀疑攻击源自某位承包商的设备。该事件强调了供应链攻击的日益增长的威胁，这些攻击通常利用第三方系统或关系中的漏洞。尽管软件供应链攻击经常被提及，但这种针对关系而非软件的攻击更为普遍，且常常被低估。

威胁行为者利用被攻陷账户的合法凭据横向移动到Active Directory域控制器。在域控制器上，他们创建了多个文本文件（内容未知），并启动了另一个远程会话，这次是从域控制器连接到备份服务器。这些行为表明攻击者可能正在进行侦察或评估数据外泄的可能性。

第二天，两个计划任务在Active Directory域控制器上被创建。两个任务均由之前访问域控制器的同一用户创建，但均在SYSTEM上下文下执行。在默认域策略下的组策略首选项被修改，用于在每台加入域的机器上创建任务，以确保勒索软件的广泛部署。有趣的是，攻击者使用的是wscript.exe而不是cscript.exe来启动这些脚本。

第一个任务名为ADHelathCheck，设置于当天协调世界时（UTC）晚上9:23运行，执行了一个名为Check.vbs的脚本文件，该脚本文件位于共享位置%SYSVOL%%USERDNSDOMAIN%Scripts中。此脚本将勒索软件脚本也从共享位置复制到每台加入域的计算机的C:ProgramDataMicrosoftWindowsTemplates文件夹中。

第二个任务名为ADHelathAudit，计划在两天后协调世界时上午9:10执行，运行本地部署的勒索软件脚本Audit.vbs（MD5: 2b72beb806acd35ba0d566378115346c）。大约在加密过程开始前40分钟，另一个远程桌面协议（RDP）连接从受损用户的设备到域控制器被建立，可能是为了监视攻击的进展。加密任务在协调世界时上午11:45完成，花费了大约2.5小时完成。

这次攻击成功加密了运行多种操作系统的系统，包括Windows 10、Windows 11、Windows Server 2016和Windows Server 2019。

本次攻击中使用的ShrinkLocker变种似乎是原始脚本的修改版本，由不同的作者创建。这并不罕见，因为不同的威胁行为者会根据其特定需求和目标对恶意软件进行调整和演化。虽然一些变化是预期的，例如对命令与控制（C2）基础设施的修改，但这个特定变种有一些显著的差异：

1. 定向攻击：该变种包含一个硬编码的域名检查，表明此次攻击是专门针对某个组织的。
2. 修改注册表的方法：使用“WMIC.exe”而不是“reg.exe add”来更改注册表，显示出对不同工具或技术的偏好，可能反映了攻击者的不同技能或背景。
3. 不一致的脚本：计划任务名称中的拼写错误和冗余代码段表明该威胁行为者可能不是一名高度熟练的程序员。这可能意味着恶意软件是由一个较不复杂的攻击者改编的，可能是独立的攻击者而不是复杂的威胁组织。

由于使用和修改ShrinkLocker的门槛相对较低，使得它可以被更广泛的攻击者使用。我们的分析表明，ShrinkLocker恶意软件正在被多个独立威胁行为者用于相对简单的攻击，而不是通过勒索软件即服务（RaaS）模型进行分发。

我们知道这一部分可能会有些冗长，但 ShrinkLocker 是一种非常独特的勒索软件威胁，对它的分析既令人着迷又让人感到挫折。如果您对技术细节不感兴趣，也不要跳过“结论与建议”部分，里面充满了实用的建议和有帮助的提示。

ShrinkLocker 是一种不寻常的勒索软件威胁，主要有两个原因：它是用 VBScript 编写的，并且利用 BitLocker 来加密并锁定受害者的系统。这种做法不同于现代勒索软件，可能表明采用了独特的策略或者威胁行为者的水平较为有限。尽管一些公司已经发布了对 ShrinkLocker 的详细分析，但这些分析往往集中在具体的技术方面，而没有解释该恶意软件在现实攻击中的使用方式。

在我们的分析中，我们只关注当前仍受支持的操作系统。这是因为 ShrinkLocker 代码中大约 70% 的部分是硬编码的，仅能在旧系统如 Windows 7/8 或 Windows Server 2008/2012 上执行。这些遗留代码由于缺乏质量保证，通常无法正常运行——例如条件处理从未被评估为真。即便是恶意软件名称中提到的功能——缩减分区——也仅限于非常老旧的系统。不仅这个功能是硬编码用于遗留系统的，它还要求系统卷必须有驱动器号，而从 Windows Server 2012 开始，这一行为就已经改变了。

一种可能的解释是，这些代码最初是为其他目的开发的，后来才被改用于恶意用途。这不仅可以解释为何在代码中包含了大量过时操作系统的内容而没有对新版本进行明确检查（最新提到的版本是“2012”），还可以解释为何选择 VBScript 作为脚本语言。

微软已正式宣布从 Windows 11 2024 H2 开始逐步淘汰 VBScript，这进一步突显了这种脚本语言的过时性。尽管 VBScript 曾经被广泛使用，但近年来它的普及程度显著下降（除了永存的 slmgr.vbs 以外），因此这种恶意软件不太可能是最近开发的。

脚本初始化

脚本开始时通过初始化变量并创建一个对象与Windows管理规范（WMI）服务进行交互。WMI 是脚本中常用的方法，用于收集系统信息。代码随后执行了两个WMI查询，以获取计算机的系统配置和操作系统信息，这些数据分别存储在 colItems 和 colItems2 集合中。colItems2 集合是此修改版本脚本中特有的，用于执行初始域检查。而 colItems 则是一个通用变量，在脚本中多次使用，用于保存来自不同命令的各种值。

目标验证

代码的这一部分用于检查计算机是否属于特定域。这种定制化功能表明，恶意软件已被专门定制来针对特定的组织。脚本中使用了 InStr 命令来在一个字符串中搜索特定的子字符串。如果找到了这个子字符串（通过 0 条件判断），脚本不会做任何操作。相反地，如果未找到匹配的条件，脚本则会采取相应行动。这种反向逻辑，即在条件不满足时触发操作，是整个代码中的常见模式。

检查支持的操作系统

这一部分是一个简短的检查，用于判断脚本是否运行在早期2000年代的老旧系统上：如Windows（Server）2000、Windows XP或Windows Server 2003。至于Windows ME，还是假装它从未存在过。如果脚本在不受支持的操作系统上运行，它会从指定位置删除自身（即Audit.vbs文件），然后终止运行。

注意：这是我们最后一次专门讨论针对旧版系统的代码。接下来的分析将只关注适用于当前支持操作系统的代码部分。

BitLocker 部署

这部分代码的目的是验证是否安装了 BitLocker。如果没有安装，它会尝试部署这一功能，作为加密的前提条件。

尽管代码看起来复杂，但其中许多部分（高亮部分）在这个阶段实际上是无关的。高亮部分包含了与 BitLocker 配置相关的注册表更改，这些更改并未直接涉及部署过程。由于脚本作者倾向于在整个脚本中复制粘贴代码，导致这个特定代码块出现在多个位置（总共9次）。我们包含这一段代码，是因为它的一些意外后果可能对防御者有所帮助。

脚本首先通过 WMI 查询 SELECT * From Win32_OptionalFeature WHERE Name = 'Bitlocker' 检查是否安装了 BitLocker。此查询仅对 Windows Server 操作系统有效，因为在客户端系统的 Win32_OptionalFeature 类中不包含 BitLocker 作为可选功能。在客户端操作系统上，此查询不会返回结果，脚本会继续执行下一部分。如果查询成功，脚本会通过命令 powershell.exe -Command Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools 来部署 BitLocker。

安装完成后，脚本进入一个循环来监视安装状态。一旦 BitLocker 成功安装（InstallState = 1），脚本尝试重启服务器。然而，存在一个已知的错误会阻止重启成功完成。

这种行为为经验丰富的安全运营中心（SOC）或托管检测和响应（MDR）团队提供了识别异常的机会：

• Windows Server 关注点 – 虽然可能一开始不明显，但此代码专注于 Windows Server。如果 BitLocker 已经启用（通常出于合规原因），整个脚本块会被跳过。如果您使用其他加密方法（例如虚拟服务器的加密 SAN），结合本节的其他提示，这可以帮助您识别正在进行的攻击。
• Win32Shutdown 错误 – 脚本尝试使用 Win32Shutdown(6) 方法强制重启（6 代表强制重启请求）。但是，此请求会因“特权未持有”错误而失败，导致脚本（及其父级计划任务）陷入永无止境的循环中。
• 重启后不恢复 – 即使服务器被手动重启（例如，由不知情的管理员），脚本也没有恢复执行的机制，这意味着攻击可能会被中断或阻止。
• 意外的注册表修改 – 脚本修改了几个注册表键。虽然此时这些修改大多与 BitLocker 加密过程无关，但对 scforceoption 和 fDenyTSConnections 的修改会影响系统行为。这些注册表修改旨在通过禁用远程 RDP 和本地密码登录来限制对系统的访问。虽然这些更改可以轻松还原，但安全团队可以检测到它们的存在。

总之，如果此脚本部分在未部署 BitLocker 的 Windows Server 机器上执行，将会发生以下情况：

• 系统上将启用 BitLocker。
• 由于重启尝试失败，脚本（以及触发它的计划任务）将陷入无限循环。
• 本地和远程访问机器将被阻止，但可以轻松恢复。

有两个代码片段协同工作，生成一个随机字符串，用作BitLocker的随机密码。这个随机密码基于系统特定信息生成，这使得密码更加难以猜测或通过暴力破解获得，因为它包含了每个被入侵系统的独特特征。

第一个代码片段检索网络流量、系统内存和磁盘使用情况的信息。它使用WMI查询从Win32_PerfRawData_Tcpip_NetworkInterface、Win32_OperatingSystem和Win32_ComputerSystem类中获取数据。

• 网络接口数据：
• 时间戳（sys, perf）
• 每秒接收字节数（received）
• 每秒发送字节数（sent）
• 系统内存数据：
• 总可见内存大小
• 空闲物理内存
• 已用物理内存
• 磁盘空间：
• 已用空间（启动卷）
• 空闲空间（启动卷）

脚本随后将这些独特的系统特征与当前系统时间（通过内置的Timer函数获取）结合起来，创建一个自定义的种子值。然后，这个种子值用于覆盖随机数生成器（Randomize seed）。

通过使用自定义种子值，攻击者可以使安全分析人员更难逆向工程攻击，也可能避免被监控系统生成随机数的安全系统检测到。

字符字符串定义了可以包含在生成的随机字符串中的可能字符，包括各种字母数字字符和符号（“the quick brown fox jumps over the lazy dog”包括大小写字母）。

最后，脚本将自定义种子生成器与各个字符结合起来生成新的随机密码。使用 Rnd 函数生成一个介于 0 到 90 之间的随机数（字符字符串的长度）。然后，这个随机数用于通过 Mid 函数从字符字符串中选择一个字符。For 循环迭代 64 次，每次迭代生成一个随机字符。这些随机字符随后组合成字符串变量 strRandom，代表用于 BitLocker 配置的唯一密码。

你可能还记得在前一章节中提到的，攻击者在密码生成过程中操纵了磁盘标签。这种操作被用来代替传统的勒索说明，因为用户的整个磁盘变得不可访问。当请求 BitLocker 解密密钥时，磁盘标签会与计算机的主机名一起显示出来。

“TEL”前缀在电子邮件地址中的含义尚不明确。然而，我们观察到具有相同格式的类似电子邮件地址，这表明每个受害者可能被分配了一个唯一的电子邮件，用于与威胁行为者进行沟通。

最后，脚本使用WMI查询BitLocker服务（名为"BDESVC"）的状态和运行状况，进行最终状态检查。如果服务未运行或不处于“正常”状态，脚本会尝试启动该服务，并暂停2秒以便服务启动。脚本会持续循环检查服务状态，直到其处于运行状态且为“正常”状态。

我们之前解释过，脚本通过修改注册表来限制对系统的访问，具体方法如下：

1. 禁用远程RDP连接：fDenyTSConnections设置防止用户通过远程桌面协议（RDP）远程访问系统。
2. 禁用基于密码的登录：scforceoption设置禁用基于密码的登录，要求用户使用诸如智能卡或生物识别等其他身份验证方法。

除了限制访问之外，脚本还在注册表项 HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftFVE 下配置了额外的 BitLocker 设置：

• "UseAdvancedStartup"=dword:00000001该设置启用 BitLocker 的高级启动选项，允许用户在系统启动时访问恢复工具和选项。
• "EnableBDEWithNoTPM"=dword:00000001允许在没有可信平台模块（TPM）的系统上启用 BitLocker 驱动器加密（BDE）。
• "UseTPM"=dword:00000002指定 BitLocker 应使用 TPM，但需要 PIN 或启动密钥。值为 00000002 表示 TPM 需要额外的身份验证。
• "UseTPMPIN"=dword:00000002启用使用 TPM PIN 进行身份验证。同样，00000002 表示在启动过程中需要输入 PIN。
• "UseTPMKey"=dword:00000002启用使用 TPM 密钥进行身份验证，启动时需要密钥才能解锁驱动器。
• "UseTPMKeyPIN"=dword:00000002类似于前面的设置，允许使用 PIN 与 TPM 密钥结合，以增加启动过程中的安全性。
• "EnableNonTPM"=dword:00000001允许在没有 TPM 的系统上使用 BitLocker，可以与密码或 USB 密钥结合以解锁驱动器。
• "UsePartialEncryptionKey"=dword:00000002启用使用部分加密密钥进行数据恢复或访问。
• "UsePIN"=dword:00000002启用使用 PIN 来访问加密驱动器。

负责修改这些 BitLocker 相关注册表设置的代码在脚本中出现了九次。尽管原始脚本使用了 reg.exe add 来进行这些修改，这个变种版本加入了对部分修改使用 WMIC.exe 的操作。对于这个切换的原因并不明确，但它为防御者提供了额外的机会来检测恶意活动。

脚本执行命令 manage-bde -protectors -delete <drive> 来删除受保护驱动器上的现有保护器。

保护器是 BitLocker 用于保护加密密钥的机制，包括硬件保护器（如 TPM）或软件保护器（如密码或恢复密钥）。通过删除所有保护器，脚本的目的是让受害者无法恢复数据或解密驱动器。

在删除先前配置的 BitLocker 恢复方法后，脚本使用 ConvertTo-SecureString -splaintext -force cmdlet 将先前生成的字符串 strRandom 转换为安全字符串。

命令 Enable-BitLocker -qe -pwp -pw $a 用于配置指定驱动器的 BitLocker 加密。此配置步骤不会立即启动加密过程，而是为驱动器做好准备。使用了缩写的开关参数，以下是这些参数的详细说明：

• -qe 是 -UsedSpaceOnly 的别名。此开关参数指示 BitLocker 只加密当前使用的部分，不加密未分配的空间。
• -pwp 是 -PasswordProtector 的别名。此开关参数指定将使用密码来保护卷加密密钥。
• -pw 是 -Password 的别名。此安全字符串参数定义将用于解锁加密驱动器的实际密码，$a 是保存先前生成密码的变量。

然后使用 cmdlet Resume-BitLocker -MountPoint <drive> 来启动（或恢复）加密过程，根据日志文件，该过程大约需要 10 分钟完成。实际的加密时间可能因多个因素而有所不同，包括被加密驱动器的大小、系统硬件的速度和驱动器上当前的数据量。

接下来的部分将介绍脚本如何将新生成的密码上传到由攻击者控制的服务器。

Stream_StringToBinary函数将文本字符串转换为二进制格式。它创建一个ADODB.Stream对象来处理数据，将流模式设置为文本，将输入字符串写入流中，再将流转换为二进制格式，最后读取二进制数据。此过程用于将生成的密码准备好进行网络传输或其他需要二进制数据的操作。

下一段代码片段使用了TryCloudflare，这是一项由Cloudflare提供的免费服务，允许用户为其本地服务器建立临时隧道，而无需完整的Cloudflare账户。

使用动态生成的子域名，攻击者能够保持与被攻陷机器的隐蔽且受控的连接，从而接收被盗数据而无需复杂的基础设施。虽然TryCloudflare本身是合法的服务，但其在这一背景下的滥用凸显了恶意行为者如何利用合法工具进行恶意用途。

在HTTP请求中设置“Accept-Language”头为“fr”可能意味着攻击者用它来过滤掉不需要的连接。

这段代码负责通过HTTP POST请求将有关被攻陷受害者的信息上传给攻击者。

收集的信息包括主机名、操作系统名称（OS caption）、加密驱动器及随机生成的密码。这些数据用于识别受感染的系统，并向攻击者提供解密所需的信息。举例来说，这个字符串的格式可能是：“WIN-0Q8BALHTUT8 Microsoft Windows Server 2022 Standard C:, QsexeTd41GoWRNZE8Oeo2RQZO#EO*fY-HU2fzxEEwvj5RIS70qiqYGU-SRCsJN0B”。

脚本最后尝试清理其痕迹。它会检查当前机器是否为特定（硬编码）的域控制器，如果是，则从SYSVOL中删除相关文件。

在所有系统上，它会禁用Windows防火墙规则，删除审计文件（PowerShell事件日志），并尝试移除名为"Login"和"WomenDisk"的计划任务。

这些任务名称通常是随机生成的以规避检测。但脚本中存在一个错误：它引用了任务的原始名称，而不是最新版本的名称。

最后，脚本会启动系统关机操作，使用户在登录时面对一个加密的BitLocker屏幕，提示输入密码。

在尝试恢复BitLocker访问时，威胁行为者的联系信息会显示在屏幕上。

ShrinkLocker 是一种新型勒索软件，它采用独特的方法来加密系统。通过利用 Windows 的合法功能 BitLocker，它可以快速加密整个驱动器，包括系统驱动器。与传统勒索软件不同，ShrinkLocker 不会引入自己的加密机制，而是通过操纵 BitLocker 来实现其恶意目的。

对特定 Windows 事件日志的主动监控可以帮助组织识别并应对潜在的 BitLocker 攻击，即使是在攻击的早期阶段，例如攻击者测试其加密能力时。特别是跟踪 "Microsoft-Windows-BitLocker-API/Management" 来源的事件，尤其是事件 ID 为 776（保护器移除）和 773（BitLocker 暂停）的日志。

虽然这种监控有助于检测攻击，但还可以通过组策略配置来实现主动预防。通过配置 BitLocker 将恢复信息存储到 Active Directory 域服务 (AD DS)，并强制执行“在恢复信息存储到 AD DS 之前不启用操作系统驱动器上的 BitLocker”策略，组织可以显著降低基于 BitLocker 的攻击风险。

策略“在恢复信息存储到 AD DS 之前不启用操作系统驱动器上的 BitLocker”确保在将必要的恢复信息安全存储到 Active Directory 之前，BitLocker 加密无法启动。这可以防止未经授权的加密尝试，因为攻击者需要同时加密驱动器并找到并移除 AD 中的恢复信息。

注意：请注意，此策略应按照既定的变更管理最佳实践谨慎实施和评估。重要的是要考虑到，威胁行为者可能会在发起攻击前识别并禁用此策略。然而，这一措施对抗不太复杂的攻击者仍具有重要的威慑作用，并且可以为防御者提供额外的机会和时间来响应和减轻攻击的影响。

我们对于有效防御过去、现在和未来威胁的总体建议依然不变：实施多层次的、纵深防御的架构。勒索软件攻击，尤其是那些涉及勒索软件即服务（RaaS）合作伙伴的攻击，实质上是手动的黑客操作。

预防：降低勒索软件攻击风险的关键第一步是减少攻击面。这包括保持系统更新最新的安全补丁，尤其是那些暴露在互联网上的系统，以防止已知漏洞被利用。此外，实施多因素认证（MFA）可以显著降低未经授权访问的风险，即使凭证通过钓鱼或其他方式被泄露。减少暴露在互联网上的系统数量并实施严格的访问控制也能进一步减少攻击面。

保护：通过在所有设备和用户上部署多层安全措施，组织可以为那些试图绕过初始防御的威胁行为者制造重重障碍。重要的是在拦截恶意活动和标记可疑行为之间取得适当的平衡，同时尽量减少误报和对系统性能的影响。

检测与响应：大多数勒索软件攻击通常需要至少几天，通常几周时间来完全攻陷一个网络。在这期间，攻击者会进行大量的横向移动，目的是获取对更多系统和数据的访问权限。我们的调查表明，威胁行为者通常会产生足够的妥协指标来被检测到。然而，有两个常见的漏洞会阻碍有效的响应。

首先，是缺乏强有力的终端检测与响应（EDR）或扩展检测与响应（XDR）解决方案。EDR 和 XDR 解决方案的设计目的是缩短威胁行为者未被发现的时间，通过分析和关联可疑行为，即使这些行为在最初未被立即分类为恶意行为。

其次，尽管像 EDR 和 XDR 这样的检测工具可以识别异常，然而有效的安全运营需要对这些警报进行调查、优先级处理和响应。人员不足或负担过重的安全团队可能难以分析这些警报，从而使安全事件升级为全面的安全漏洞。通过投资专门的安全运营团队或更为经济的托管检测与响应（MDR）服务，组织可以显著降低这些漏洞的风险。

这些建议基于我们广泛的勒索软件调查。我们将当前对勒索软件战术的理解与现有的安全控制措施相结合，并发布了白皮书《阻止勒索软件：攻击向量与缓解策略的技术深度探讨，采用 Bitdefender 解决方案》。我们不断更新这份白皮书，以反映最新的趋势和最佳实践。

https://www.bitdefender.com/en-gb/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again