合法的 Windows 安全功能已成为黑客的工具。

卡巴斯基实验室专家 已发现 使用BitLocker的新型 ShrinkLocker 勒索软件对企业设备发起的攻击。 BitLocker 是 Windows 中的一项安全功能，允许您使用加密来保护您的数据。攻击的目标是工业和制药公司以及政府机构。

攻击者用 VBScript 创建了一个恶意脚本。此脚本检查设备上安装的 Windows 版本并相应地激活 BitLocker 功能。 ShrinkLocker 可以感染新版和旧版操作系统，最高可达 Windows Server 2008。

该脚本修改操作系统启动参数，然后尝试使用 BitLocker 加密硬盘分区。将创建一个新的启动分区，以便您稍后可以启动加密的计算机。攻击者还删除了用于保护 BitLocker 加密密钥的安全工具，以便用户以后无法恢复它们。

接下来，恶意脚本将有关系统的信息以及受感染计算机上生成的加密密钥发送到攻击者的服务器。然后它会“掩盖其踪迹”：它会删除有助于调查攻击的日志和各种文件。

在最后阶段，ShrinkLocker 强制阻止对系统的访问。受害者在屏幕上看到一条消息：“您的计算机上没有 BitLocker 恢复选项。”

卡巴斯基专家建议公司使用强密码、安全存储 BitLocker 密钥、备份数据并实施早期威胁检测和事件调查解决方案。

文章原文链接:https://www.anquanke.com/post/id/296756