卡巴斯基使用BitLocker加密公司数据发现新勒索软件

雅加达 - 卡巴斯基全球紧急响应团队已经成功地识别了一项新的勒索软件攻击,该攻击使用Microsoft BitLocker 进行加密公司文件的尝试。

研究人员报告说,威胁肇事者使用VBScript(一种用于自动化Windows计算机上的任务的编程语言)来创建恶意脚本。

OS 版本 适合攻击,脚本将更改启动设置,并尝试使用 BitLocker 加密 整个驱动器。

它创建了一个新的启动派系,该派系基本上在计算机的驱动器上设置了一个单独的部分,其中包含一个文件以启动操作系统。

此操作旨在在在下一阶段关闭受害者。攻击者还删除了用于保护BitLocker加密钥匙的保护剂,以便受害者无法恢复。

恶意脚本然后将有关系统的信息和受损计算机生成的加密键传输到受威胁行为者控制的服务器。

之后,他通过删除日志和各种作为线索的文件并协助调查攻击来掩盖自己的足迹。

“在这种情况下,最令人担忧的是,最初旨在降低数据盗窃或剥削风险的BitLocker已被敌人重复使用用于危险目的,”卡巴斯基全球紧急响应小组的事件响应专家Kristian Souza说。

最后一步,恶意软件将强行关闭系统。受害者看到BitLocker的屏幕,并带有消息:“PC上不再有BitLocker恢复选项”。

卡巴斯基将脚本称为“ShrinkLocker”,因为该名称强调了更改派对尺寸的重要程序,这对于攻击者来说很重要,以确保系统与加密文件一起正确进行助推。

克里斯蒂安说:“常规的禁令,离线存储和测试,也是重要保护措施。