IT之家5月25日消息,卡巴斯基公司发布安全博文,表示在墨西哥、印度尼西亚和约旦发现ShrinkLocker勒索软件变种,现阶段仅针对组织、制造业等商用PC,通过滥用BitLocker进行加密勒索。
ShrinkLocker的特别之处在于使用VBScript(一种从WindowsH2开始废弃的旧版Windows编程脚本)来识别主机PC使用的特定Windows操作系统。
恶意脚本会运行特定于操作系统的BitLocker设置,并在运行Vista或WindowsServer或更新版本的PC上相应启用BitLocker。如果操作系统太老,ShrinkLocker就会自动删除,不会留下任何痕迹。
ShrinkLocker会将所有硬盘分区缩小MB,并利用窃取的空间创建一个新的启动分区,将其命名为“Shrink”Locker。
ShrinkLocker还会删除所有用于保护加密密钥的保护器,使受害者以后无法恢复加密密钥。脚本会创建一个64个字符的随机加密密钥,并将其和有关计算机的其他信息发送给攻击者,删除存储ShrinkLocker活动的日志,最后强制关闭计算机,使用新创建的引导分区完全锁定和加密计算机上的所有磁盘。
设备一旦感染ShrinkLocker勒索软件,硬盘往往会“变砖”,卡巴斯基认为ShrinkLocker攻击的制造者必须“广泛了解”各种晦涩的Windows内部结构和实用程序,才能制造出几乎不留痕迹的攻击。
卡巴斯基的专家无法找到任何方法来识别攻击源或信息发送源,但他们确实在一台未配置BitLocker的受影响PC的单个硬盘上发现了ShrinkLocker脚本。
IT之家附上参考