据卡巴斯基称,更多的勒索软件是使用Microsoft BitLocker加密公司文件,窃取解密密钥,然后向受害者组织勒索款项.
这家反病毒制造商的全球应急小组在墨西哥、印度尼西亚和约旦发现了名为ShrinkLocker的恶意软件,并表示该代码的未具名运营商针对钢铁和疫苗制造公司,以及一个政府实体.
犯罪分子,包括勒索软件团伙,使用合法软件工具并不是什么新鲜事-你好,Cobalt Strike.
事实上,微软此前曾表示,伊朗的不法分子滥用了Windows内置的BitLocker全卷加密功能来锁定受攻击的设备.
我们可以回忆起在受感染的机器上使用BitLocker对数据进行加密并勒索赎金的其他勒索软件.
然而,Kasperky威胁猎人Cristian Souza、Eduardo Ovalle、Ashley Muñoz和Christopher Zachor在周四发表的研究报告中表示,使用ShrinkLocker,“对手采取了额外的措施,最大限度地减少了攻击造成的损失,阻碍了对事件的有效应对.
”这份报告包括了检测和阻止ShrinkLocker变体的技术细节.
注册中心已经联系了雷德蒙德寻求评论,如果我们得到回复,将更新这篇报道.
一旦他们在受害者的机器上执行了代码,数据窃贼就部署了ShrinkLocker,它使用VBScript探测Windows Management Instrumentation来确定操作系统版本.
它这样做的目的是为任何运行的微软操作系统选择正确的步骤,允许它敲诈当前的系统以及那些可以追溯到Windows Server 2008的系统.
至于这些步骤,该脚本在固定驱动器而不是网络驱动器上执行磁盘大小调整操作(这是ShrinkLocker的“收缩”部分)(想必是为了最大限度地减少检测),重新调整分区和引导设置,确保BitLocker已启动并运行,并最终加密计算机的存储.
请参阅卡巴斯基报告了解这是如何专门针对微软的每种操作系统的.
此外,该恶意软件还会将分区的标签更改为敲诈勒索者的电子邮件、电子邮件和引导设置这使得受害者可以联系骗子.
在将访问加扰驱动器所需的解密密钥发送到由犯罪分子控制的服务器后,恶意软件会在本地删除密钥,破坏用户的恢复选项,以及可能有助于网络防御者更容易发现或分析攻击的系统日志.
最后,它会关闭受攻击的系统,并在BitLocker屏幕上显示一条消息:“您的PC上没有更多的BitLocker恢复选项.”游戏结束.除了列出ShrinkLocker的危害指标,并建议组织使用托管检测和响应产品来寻找威胁、咳嗽,卡巴斯基还建议企业采取措施,避免成为这些勒索软件感染的受害者.
这包括限制用户权限,使他们无法启用加密功能或修改注册表项.
如果您启用了BitLocker,请使用强密码并安全地存储恢复密钥.
此外,监视VB脚本和PowerShell执行事件,并将尽可能多的关键系统活动记录到无法在本地删除的外部存储库.
此外,还要经常备份系统和文件,脱机存储它们,并确保对它们进行测试,以确保在发生勒索软件或其他安全混乱时可以恢复它们.
对于这一点,微软没有任何令人放心的说法,只有一句话:我们建议客户遵循最佳安全实践--确保安装了所有可用的更新,并运行最新的威胁防护.
PS:仍然对®召回及其加密快照感到满意吗?.