Search
Close this search box.

【可怕!檔案被駭客鎖起來打不開】Windows 內建功能遭惡意利用,全新勒索病毒已駭進政府及企業

網路安全研究人員近期發現,一款全新的勒索病毒已經駭進了企業及政府機構,並且利用 Windows 內建的 BitLocker 加密功能,將使用者的檔案完全上鎖,而且該勒索病毒還擁有更強大的未公開破壞能力。

網路安全公司卡巴斯基表示,這款全新的勒索軟體被稱為「ShrinkLocker」,其中 Shrink 的意思是「縮小」,因為其攻擊方式會先將電腦上的可用非啟動分區縮小 100MB,並且將該空間用來創造全新的啟動區以利後續進行勒索,接著再透過 BitLocker 將目標裝置中的檔案全部鎖定。

然而,BitLocker 本身其實是 Windows 內建的安全功能,其主要目的是透過加密硬碟上的所有資料,讓使用者在遺失裝置或電腦遭竊時,不會因為遭人強行抓取硬碟數據而導致隱私外洩。

掌握 AI 趨勢 & 活動資訊一點都不難!訂閱電子報,每週四一起《AI TOgether》

感謝訂閱!隨時注意信箱的最新資訊

根據安全研究人員的詳細說法,受到 ShrinkLocker 勒索病毒感染的 Windows 電腦,將執行一組透過 VBScript 腳本語言所撰寫的惡意程式碼,接著病毒會嘗試使用系統內建的 BitLocker 功能加密整個硬碟分區,並且主動刪掉 BitLocker 的加密金鑰,讓使用者無法透過正常流程解鎖。

駭客利用合法工具隱藏行蹤

安全研究人員表示,唯一有辦法解密資料的人是攻擊者,駭客透過 TryCloudflare 獲取硬碟加密後產生的金鑰檔案,然而 TryCloudflare 卻也是一個合法工具,讓開發人員可以用它來測試與 CloudFlare 之間的連線,而無需將網站位置新增至 CloudFlare 的 DNS 並暴露行蹤。

卡巴斯基警告,ShrinkLocker 還擁有「未公開的強大功能」,可以最大限度的提高攻擊所造成的傷害。當使用者的電腦遭到加密並上鎖後,駭客並不會寄出勒索信或跳出警告視窗,而是將新建的啟動區名稱標記為電子郵件地址,要求被害者以 E-mail 的方式進行溝通。

迄今為止,包含政府機構、製造工廠和藥物公司,皆受到了 ShrinkLocker 的影響,災情遍及墨西哥、印尼和約旦,然而 ShrinkLocker 並不是第一個使用 BitLocker 加密功能進行勒索的惡意軟體,過去位於比利時的某間醫院,就曾被勒索病毒透過 BitLocker 加密多達 40 台伺服器,上鎖了近 100TB 的數據。

卡巴斯基安全專家建議,在系統中使用 BitLocker 功能的企業,應確保加密金鑰獲得安全儲存,並且定期離線備份資料以免遭到惡意份子進行勒索。

【延伸閱讀】

◆ 【跟老闆溝通太心累】台灣高達 96% 主管不敢點出企業資安有問題,甚至還被經營者嫌太雞婆

◆ AI 做的蔡英文假新聞到處竄!台灣每天遭 500 萬次網攻多來自中國,該如何應對?

◆ 【最讓資安長頭痛的 3 大挑戰】全球 OT 資安大調查揭曉!也戳中你家企業痛點了嗎?

*本文開放合作夥伴轉載,資料來源:《TechRadar》《BleepingComputer》。首圖來源:Pixabay