威胁无不不在

网络攻击的形式不断发展，即便是合法的 Windows 安全功能也会成为黑客的攻击工具。

卡巴斯基实验室专家 发现 使用BitLocker的新型 ShrinkLocker 勒索软件对企业设备发起的攻击。 在墨西哥、印度尼西亚和约旦已经发现 ShrinkLocker 勒索软件变种，现阶段仅针对组织、制造业等商用 PC，通过滥用 BitLocker 进行加密勒索。

BitLocker 概述

BitLocker 是一项 Windows 安全功能，可为整个磁盘提供加密，解决因设备丢失、被盗或不适当停用而导致数据被盗或泄露的威胁。

BitLocker 在与受信任的平台模块 (TPM) 版本 1.2 或更高版本一起使用时可提供有力的保护。 TPM 是计算机制造商在很多较新的计算机上安装的硬件组件。 它与 BitLocker 结合使用可以帮助保护用户数据，并且确保当系统脱机时，计算机不会被篡改。

在没有 TPM 版本 1.2 或更高版本的计算机上，仍然可以使用 BitLocker 加密 Windows 操作系统驱动器。 但是，实现此功能需要用户插入 USB 启动密钥启动计算机或从休眠中恢复。

如何利用BitLocker进行攻击

攻击者用 VBScript 创建了一个恶意脚本。此脚本检查设备上安装的 Windows 版本并相应地激活 BitLocker 功能。 ShrinkLocker 可以感染新版和旧版操作系统，包括Windows Server 2008。

该脚本修改操作系统启动参数，然后尝试使用 BitLocker 加密硬盘分区。将创建一个新的启动分区，以便您稍后可以启动加密的计算机。攻击者还删除了用于保护 BitLocker 加密密钥的安全工具，以便用户以后无法恢复它们。

接下来，恶意脚本将有关系统的信息以及受感染计算机上生成的加密密钥发送到攻击者的服务器。然后它会“掩盖其踪迹”：它会删除有助于调查攻击的日志和各种文件。

在最后阶段，ShrinkLocker 强制阻止对系统的访问。受害者在屏幕上看到一条消息：“您的计算机上没有 BitLocker 恢复选项。”

如何降低影响

建议公司使用强密码、安全存储 BitLocker 密钥、备份数据并实施早期威胁检测和事件调查解决方案。

也可以通过如下方法查看电脑是否有启用BitLocker ：

manage-bde.exe -status

如果保护状态有开启，需要暂时关闭，可以用方法如下：

manage-bde.exe -protectors -disable d:

但是如果需要禁用，则可以采用如下指令：

manage-bde.exe -off C:

以上方法，都需要管理员权限执行。

Win11 24H2 装机默认开启 BitLocker

微软近日发布声明，确认 Windows 11 24H2 系统装机将默认启用 BitLocker 磁盘加密。

微软在声明中表示：“我们已经做了相关调整（移除 Modern Standby / HSTI 验证和不受信任的 DMA 端口检查），用户在重新安装 Windows 11 系统过程中，将会默认启用设备加密”。

其实微软早在 2023 年 7 月发布的 Windows 11 Build 25905 预览版更新中已部署了这项调整，知识最近才得到广泛的关注。

微软官方表示设备加密使用 BitLocker 来加密应用于所有系统磁盘的数据，用户必须将 BitLocker 密钥备份到其微软账户或将其保存到外部 USB 磁盘中。

推荐阅读

• 网络安全-Windows update联网更新最优实践
• Windows 时间服务配置和配置工具
• Windows Server 2022 安全功能重大更新
• Windows Server 2016关闭自动更新的方法
• Windows Server 2019 Standard 和 Datacenter 版本差异比较