新型ShrinkLocker勒索软件使用BitLocker加密文件

　　“一种名为ShrinkLocker的新型勒索软件通过使用Windows BitLocker创建新的启动分区来加密企业系统的文件。ShrinkLocker之所以得名，是因为它通过缩小可用的非启动分区来创建启动卷。它已被用于攻击政府机构以及疫苗和制造业部门的公司。

一、基本内容

　　一名威胁行为者使用Windows的这一安全功能加密了比利时一家医院40台服务器上的100TB数据。另一个攻击者用它加密了莫斯科一家肉类生产和分销公司的系统。在2022年9月，研究人员警告称，伊朗国家支持的攻击者利用BitLocker加密运行Windows 10、Windows 11或Windows Server 2016及更新版本的系统。研究人员表示ShrinkLocker具有以前未报道的功能，以最大化攻击的破坏力。ShrinkLocker用Visual Basic脚本(VBScript)编写，这是微软于1996年引入的一种语言，目前正在逐步淘汰——从Windows 11 24H2版本开始作为按需功能提供(目前处于发布预览阶段)

　　据卡巴斯基的全球应急响应团队称，威胁行为者正在使用VBScript——一种用于在Windows计算机上自动执行任务的程序设计语言——创建一个带有以前未报告的功能的恶意脚本，以最大化攻击的损害。该脚本的新颖之处在于检查系统上安装的Windows的当前版本，并相应地启用BitLocker功能。通过这种方式，该脚本被认为能够感染新的和旧的系统回到Windows Server 2008。

二、分析研判

　　如果操作系统的版本适合攻击，脚本改变引导设置，并尝试使用BitLocker加密整个驱动器。它建立了一个新的引导分区，实质上是在计算机的驱动器上设置了一个单独的部分，其中包含用于引导操作系统的文件。这一行动的目的是在稍后阶段将受害者拒之门外。攻击者还删除用于保护BitLocker的加密密钥的保护程序，使受害者无法恢复它们。然后，恶意脚本将有关系统的信息以及在受感染的计算机上生成的加密密钥发送到由威胁参与者控制的服务器。之后，它通过删除可能有助于调查攻击的日志和各种文件来掩盖其踪迹。作为最后一步，恶意软件强制关闭系统,通过在单独的引导分区中创建和重新安装文件来实现这一功能。

三、应对策略

　　使用功能强大、配置正确的安全软件来检测试图滥用BitLocker的威胁。实施 管理的检测和响应( MDR )， 以积极主动地发现威胁。

　　限制用户权限，以防止在未经授权的情况下启用加密功能或修改注册表项。

　　启用网络流量日志记录和监控，捕获GET和POST请求，因为受感染的系统可能会将密码或密钥传输到攻击者域。

　　监控VBScript和PowerShell执行事件，将记录的脚本和命令保存到外部存储库中，以保留本地擦除的活动.