BitLockerを悪用してPCを暗号化するランサムウェア。Kasperskyが注意喚起

　Kasperskyは23日、BitLockerを悪用したランサムウェア攻撃「ShrinkLocker」について、情報を公開し注意喚起した。

　ShrinkLockerは、Windowsに標準搭載の暗号化機能であるBitLockerを悪用した攻撃で、標的のPCのボリューム全体を暗号化した上で、復号化キーを盗むという手法が用いられているという。BitLockerは本来、デバイスの紛失や盗難、廃棄におけるデータ漏洩のリスクを抑えるための機能となっている。

　まずVBScriptを使ってOSがBitLockerに対応しているかなどをチェック。条件を満たしている場合は、各非ブートパーティションを100MB縮小し、そのスペースに新たにプライマリパーティションを設定し、ブートファイルをインストールする。パーティションの名前は攻撃者のメールアドレスに変更される。

　その後、レジストリ変更によって、RDP接続の無効化やTPM非搭載デバイスでのBitLockerの有効化などを実行。被害者があとから回復できなくなるよう、暗号化キーなどを保護するためのプロテクターを無効化して削除する。さらに、64文字のランダムな暗号化キーを生成し、攻撃者に対して標的となったデバイス情報や暗号化キーなどを送信する。

　最後にログなどを削除してPCを強制的にシャットダウンする。再起動後は「There are no more BitLocker recovery options on your PC」(BitLockerの回復オプションがありません)というメッセージが表示され、PCが使えなくなり、データにもアクセスできなくなる。

　Kasperskyでは、Windowsの内部構造などを熟知した攻撃者が関わっていると考えられると分析している。また緩和策として、PCの暗号化のほか、ネットワークトラフィックのロギングの監視、VBScriptやPowerShell関連のイベント監視、バックアップなどを行なうよう勧めている。