BitLocker再次被新的“ShrinkLocker”勒索软件攻击武器化。这种攻击使用了新颖的方法，使传统的BitLocker攻击比以往任何时候都更加普遍和危险，它已经被用来攻击政府和制造业。

卡巴斯基以其卡巴斯基反病毒和领先的恶意软件研究而闻名，在墨西哥、印度尼西亚和约旦发现了新的病毒，迄今为止只针对企业PC。利用BitLocker进行攻击并不是什么新鲜事。BitLocker是Windows的一项可选功能，可以对企业常用的个人电脑硬盘进行加密。但是由于新的创新，ShrinkLocker是独一无二的。

ShrinkLocker使用VBScript(一种从Windows 11 24H2开始弃用的旧Windows编程脚本)来识别主机PC使用的特定Windows操作系统。然后，恶意脚本会通过BitLocker特定于操作系统的设置，并在任何运行Vista或Windows Server 2008或更新版本的PC上相应地启用BitLocker。如果操作系统太旧，ShrinkLocker会自动删除，不留痕迹。

然后ShrinkLocker收缩所有驱动器分区100MB，并使用窃取的空间来创建一个新的启动分区，因此“收缩”Locker。ShrinkLocker还删除了用于保护加密密钥的所有保护程序，使受害者以后无法恢复加密密钥。该脚本创建一个新的随机64字符加密密钥，将它和其他有关计算机的信息发送给攻击者，删除存储ShrinkLocker活动的日志，最后强制关闭PC，使用新创建的引导分区完全锁定和加密PC上的所有驱动器。个人电脑和它的每一个字节的数据现在是完全不可用的。

这次攻击让目标陷入了困境，只能用砖头来装硬盘。ShrinkLocker攻击的发起者一定对各种晦涩的Windows内部和实用程序有“广泛的了解”，从而精心策划了这次攻击，几乎没有留下任何痕迹。卡巴斯基的专家无法找到任何方法来确定攻击的来源或信息发送的来源，但他们确实在一台未配置BitLocker的受影响电脑的单个驱动器上发现了ShrinkLocker脚本。

对于勒索软件攻击，攻击者也不容易找到发送赎金的地方。该脚本将新启动分区的名称更改为攻击者的电子邮件，但这需要更多的挖掘来发现，而不是简单地编辑BitLocker恢复屏幕，对于这种水平的黑客来说，这是一项很容易的任务。这使得攻击的重点更可能是破坏和数据破坏，而不是赎金。

IT专业人员已经熟悉了这些攻击的缓解步骤:经常备份，限制用户的编辑权限，这样他们就不能编辑他们的BitLocker设置或注册表，并寻求高级EPP或MDR解决方案来跟踪和保护您的网络。卡巴斯基显然在他们的技术报告中提出了他们自己的产品。