一款名為ShrinkLocker的加密勒索程式,透過Windows的工具BitLocker對被感染的電腦進行加密,而且是使用標準的全硬盤加密去防止資料存取,並關閉復原金鑰機制,防止用戶自行進行解密。
ShrinkLocker的危險
ShrinkLocker一向大部份的加密勒索程式一樣,通過加密對受害者的硬盤進行封鎖內容存取,而它特別之處是使用Windows工具的標準保安功能BitLocker,把電腦磁碟分割區域縮小100MB,從而釋放空間去建立自己的啟動分割區,並且關閉所有BitLocker的復原金鑰機制,再發送金鑰到攻擊者的伺服器,在用戶重啟電腦後就會出現BitLocker標準的輸入密碼提示,由於用戶現在已無法啟動系統,ShrinkLocker會改更磁盤標籤成為攻擊者的電郵地址,而不是留下勒索訊息。
ShrinkLocker的運作方式
ShrinkLocker以複雜的VBScript部署,首先會收集操作系統的資訊,尤其是版本,如果發現是Windows 2000、XP、2003或Vista便會停止運作,較新版本的Windows就會執行部份編碼針對相關操作系統進行最佳化,然後便在本機磁盤上執行準備操作,修改數個registry key去設定系統去順暢地執行攻擊者需要的BitLocker,再關閉所有BitLocker預設的防護機制去防止復原金鑰,然後啟動數位密碼保護選項。
腳本的下一步是產生密碼和使用新密碼展開對所有本機磁盤加密,ShrinkLocker再發送密碼和系統資訊對攻擊者的C&C伺服器,為了隱藏真實的伺服器地址,攻擊者使用多個trycloudflare.com子網域,它是由CloudFlare擁有的合法網域,是為網站開發人員測試網站流量能力而設。如果用戶在啟動過程中選擇復原選項,便會看到沒有BitLocker復原選擇可選的畫面。根據研究員的觀察,ShrinkLocker有修改版出現在印尼、約旦和墨西哥。
防範ShrinkLocker加密勒索攻擊
想防範ShrinkLocker有以下幾點可以加以留意:
- 採取最少特權的方針,尤其不該讓用戶持有修改registry或啟動全磁盤加密的權限。
- 啟動流量監察,尤其注意HTTP GET請求,記錄HTTP POST也有幫助,不幸被感染時對攻擊者C&C伺服器的請求內可能含有密碼和金鑰。
- 監察與VBS和PowerShell執行的事件,把發現的腳本和指令儲存到外置儲存裝置,防止惡意程式刪除本機記錄。
- 定期備份資料,使用離線儲存備份資料並核實真確性。
- 使用可靠的商用防護方案
- 使用EDR (Endpoint Detection and Response)方案監察公司網絡內的可疑活動
資料來源:Kaspersky Blog
