吳明宜BitLocker 是 Windows 加密功能,但最新一隻的勒索軟體卻用它製造危害,加密用戶系統資料。
BitLocker 是微軟於 2007 年的 Windows Vista 推出的全硬碟加密功能,可將整顆硬碟加密防止被他人存取電腦後讀取或修改資料。它從 Windows 10 開始,預設使用 128-bit 及 256-bit XTS-AES 加密演算法,防範操弄密碼文字從可預測的樣態猜測明碼文字。
卡巴斯基近日發現一樁利用 BitLocker 加密受害者系統資料的案例,受害者遍及墨西哥、印尼和約旦等地,包括政府和製造業。研究人員之所以將勒索軟體命名為 ShrinkLocker,原因是它濫用 BitLocker,且會將受害者未啟動的硬碟空間分區 (partition) 縮小 100MB,且將未配置的空間分割成 100MB 的新分區。新的分區即會用來儲存它加密的用戶資料。
ShrinkLocker 如何進入受害者電腦,不得而知。然而一旦被安裝,ShrinkLocker 會先跑一隻 VisualBasic script,呼叫 Windows Management Instrument (WMI) 和 Win32_OperatingSystem class 來查詢作業系統的資訊,以確定該台系統網域是否和目標相符。如果是,就會自動再查 OS 是否包含 XP 、 2000 、 2003 或 Vista,如果是,表示太老舊,這個 script 會自動刪除。
該 script 利用 WMI 查詢 OS 硬碟空間,然後展開變更硬碟空間大小的行動。這些行動都是在本機上執行,不會離開網路磁碟,可能是是為了避免網路安全軟體偵測。
最後,ShrinkLocker 會關閉確保 BitLocker 加密金鑰的防護、刪除金鑰及關閉金鑰回復功能,然後啟用數字密碼,以取得電腦控制權。它之後利用隨機加乘技巧產生 64 碼的加密金鑰,來加密受害者系統。
研究人員指出,要在沒有攻擊者金鑰情況下解密被它加密的硬碟,是有可能,但十分困難。
而 ShrinkLocker 目前沒有有效的防禦方法。研究人員建議用戶用以下方法自保。包括使用端點安全產品、使用威脅偵測方案;啟用 BitLocker 時,要使用強密碼及將金鑰在安全地方。平時管理員應僅開放使用者最小權限原則,避免他們的權限被他人濫用。此外也應啟用網路瀏量監控機制及和 VBS 及 PowerShell 相關活動,並且將連向外部儲存的 script 及指令紀錄儲存起來以留存跡證。
來源:Ars Technica