Bitdefender 发现新的 ShrinkLocker 勒索软件，并发布其解密工具

Bitdefender 发布了针对 ShrinkLocker 勒索软件的免费解密器，该勒索软件利用 Windows BitLocker 加密系统。了解攻击者使用的所有技术以及 Bitdefender 发布的免费解密工具，以帮助受害者恢复数据。

Bitdefender 的网络安全研究人员发现了一种名为 ShrinkLocker 的新型勒索软件，以及随后的解决方案来对抗这种威胁。研究人员在发布前与 Hackread.com 分享的报告中指出，这种新威胁于 2024 年 5 月被发现，以 VBScript 编写，其 70% 的代码被硬编码为“仅在 Windows 7/8 或 Windows Server 2008/2012 等旧系统上执行”。

与依赖复杂加密算法的现代勒索软件不同，ShrinkLocker 采用独特的方法来操纵 Windows BitLocker 配置以加密系统驱动器。这是入侵设备的更直接途径。

发生的事情是，它首先检查 BitLocker 是否存在，如果不存在，则安装它。然后，它使用随机生成的密码重新加密系统，只有攻击者知道。然后，此密码被上传到对手控制的服务器，使受害者无法访问系统。然后，攻击者要求赎金以提供解密密钥。

Bitdefender 发现新的 ShrinkLocker 勒索软件，发布其解密工具

尝试恢复 BitLocker 访问权限显示攻击者的电子邮件地址（屏幕截图：Bitdefender）

Bitdefender 研究人员分析了针对中东医疗保健公司的 ShrinkLocker 攻击，攻击者在 Active Directory 域控制器上获得了对非托管系统的访问权限，创建文本文件并启动远程会话。

根据该公司的博客文章，在 SYSTEM 上下文中执行了两个计划任务，确保勒索软件的广泛部署。他们成功加密了运行各种操作系统的系统，包括 Windows 10、Windows 11、Windows Server 2016 和 Windows Server 2019。

ShrinkLocker 特别令人担忧的是它能够以最小的努力破坏整个网络。通过利用组策略对象 (GPO) 和计划任务，它可以在每台设备最短 10 分钟内加密网络中的多个系统。这种简单性使其成为可能不属于大型勒索软件即服务 (RaaS) 操作的个人威胁行为者的理想选择。

免费的 ShrinkLocker 勒索软件解密器

然而，Bitdefender Labs 的研究人员在勒索软件从 BitLocker 加密磁盘中删除保护程序后立即发现了完全恢复数据的机会。他们的深入分析促成了免费解密器的开发，现已向公众开放。

解密器为过去 ShrinkLocker 攻击的受害者提供了一条生命线，使他们能够重新获得对加密数据的访问权限。通过提供实用的解决方案，迄今为止已节省了约 16 亿美元的赎金费用。Bitdefender Labs 已展示出其对抗网络威胁和保护数字资产的承诺。

值得注意的是，ShrinkLocker 使用 Windows 功能 BitLocker 来加密整个驱动器，包括系统驱动器。因此，主动监控 Windows 事件日志可以帮助组织识别和应对 BitLocker 攻击，尤其是在攻击者测试其加密功能的早期阶段。跟踪来自“Microsoft-Windows-BitLocker-API/Management”源的事件也可以提供帮助。

解密工具：http://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe