Windowsが搭載する暗号化システム「BitLocker」を悪用してデータを暗号化。パスだけを盗み、攻撃者に連絡をさせる──こんな性質のランサムウェア「ShrinkLocker」を確認したとして、カスペルスキーが5月28日に注意を呼び掛けた。

 カスペルスキーによれば、ShrinkLockerはVBScriptで書かれたスクリプトによって、攻撃対象であるOS(Windows)のバージョンを確認し、その上でBitLockerを有効化する点が特徴という。

 OSが攻撃に適するバージョンの場合、スクリプトによって立ち上げ時の設定を変更。Windowsがインストールされていないパーティションを縮小し、空いた領域を使ってOSのブートファイルを含む新たなパーティションを設定する。そのパーティションのラベルを攻撃者のメールアドレスにし、被害者が連絡できるようにするという。

 その後、ユーザーによる自力の復旧を防ぐため、復号キーを保護するプロテクトを削除する。そして64文字のランダムなキーを生成し、攻撃対象になったPCの情報と合わせて攻撃者に送信する。

 次に、侵入の痕跡となるログなどを削除した後、システムを強制的にシャットダウンする。起動しなおすと、被害者のPCはBitLockerが有効になっており、画面には「お使いの PCにはもうBitLocker回復オプションがありません」というメッセージが表示されるという。これにより、暗号化を解除するには攻撃者に連絡するしかない状況を作り出すわけだ。

 カスペルスキーは、確認したスクリプトが「Windowsの最新バージョンからWindows Server 2008までのレガシーシステムに感染させることができる」と分析している。日本ではまだ同様の被害を確認していないものの、メキシコ、インドネシア、ヨルダンではすでに確認しており、主に鉄鋼業者やワクチンの製造企業、政府機関がターゲットになっていたという。

 BitLockerは本来、ストレージを暗号化することで、PCの盗難・紛失時のリスクを低減するためのものだ。カスペルスキーは「本来データの盗難や流出のリスクを軽減するために設計されたBitLockerが、攻撃者によって悪用されている。セキュリティ対策がこのように武器化されたことは、皮肉なこと」とコメント。

 被害の緩和には、ユーザー権限の適切な管理によって暗号化機能の不正な有効化を防ぐ、ネットワークトラフィックやログの監視、定期的なバックアップなどの対策が重要と呼び掛けている。

5/28(火) 18:32配信
https://news.yahoo.co.jp/articles/f98fc88b3424c01ac9c423481d69e012e2ac0814
https://newsatcl-pctr.c.yimg.jp/t/amd-img/20240528-00000123-zdn_n-000-1-view.jpg https://newsatcl-pctr.c.yimg.jp/t/amd-img/20240528-00000123-zdn_n-000-1-view.jpg
【PC】Windows標準機能を悪用してデータを暗号化するランサムウェア出現 カスペルスキー報告 [樽悶★]
  1. 2 ID:TUlzgd5w0
    xp は大丈夫って事?
  2. 3 ID:NmrNHip30
    よく考えるよないつもいつも
  3. 4 ID:Hi4WkWm10
    ビットロッカー強制しようとしているけどあれどう見てもウィルスだわ
    少なくとも個人で必要とは思えん
  4. 5 ID:tNBcH14J0
    ヒエッ…
  5. 6 ID:EvKOXGsR0
    私は冬の娘ビットロッカー
    溶けて消えて町は春になる
  6. 7 ID:SkDeZ5el0
    ネトウヨリストが晒されるわけだね
  7. 8 ID:fLocGG6n0
    >>1
    マイクロソフトのきのうだろ
  8. 9 ID:/cJUwgH60
    ランサムウェアてみんな同じ原理だけど
    まさかクラウドか犯罪者のpcで暗号化してると思ってたのか
    これをitmediaが書いてるってのが笑える
  9. 10 ID:vMOZzbQq0
    よくこんなの作れるよな
    天才かよ
  10. 11 ID:nX0GYyRQ0
    うーん

    シマンテックか
    トレンドマイクロ
    情報ならともかく

    カスペルスキーか
  11. 12 ID:60XTb0rZ0
    わざわざ暗号化してくれて親切ですね
  12. 13 ID:DIXitWP10
    >ネットワークトラフィックやログの監視、定期的なバックアップなどの対策が重要と呼び掛けている
    うちのPC
    svchost.exeが毎日どこぞに数千回アクセスしてんだけど大丈夫だろか
  13. 14 ID:pdIhOOpJ0
    >その上でBitLockerを有効化する点が特徴

    おいおい・・・エグイな・・・
  14. 15 ID:kMJ3qYZ30
    ノーガードのWin7つこうてる俺様には死角ゼロだな
    そもそも盗まれてもロックかけられても被害に相当するデータなどないからな
    勝手に踏み台にでもしてくれ
  15. 16 ID:GvWv3a490
    VBSはサポート対象外になる予定だが27年以降の話
    これのせいで前倒しになるかもな
  16. 17 ID:qTwa5ehp0
    びっとなんちゃらなんてもんつこうてる香具師いるの?
    そんなに大事なもならスタンドアローンにデータ移せよアホ
  17. 18 ID:c8ULrU130
    いまどきパソコンなんか使ってるからだよ
  18. 19 ID:+/gZZ2EF0
    困ったら叩けばなんとかなるやろ
  19. 20 ID:VAh3ZYOa0
    アメリカで、CIAとかNSAとか諜報組織で優秀なホワイトハッカー雇って
    ブラックハッカーの動きを検知・正体住所を突き止めたら逮捕裁判抜きでぶっ殺してくれんかのぉ・・・

    ビンラディンの所在突き止めた時に、
    外国に不法に侵入して、家族・幹部もろとも逮捕裁判抜きでぶっ殺して見せても
    しれっとしてるアメリカなら、ブラックハッカー抹殺とかもやってくれ。
  20. 21 ID:Nu/SGK870
    昔と違ってexe触らなければ大丈夫って感じでもないんだよな
    JavaScriptの依存度が高くなってブラウザから色んなところにアクセスされてまう
  21. 22 ID:Db8Zpmir0
    なんかややこしい事書いてあるけど
    ブートで好きなOST起動してデータサルベージして
    クリーンインストールでええやろ大体
  22. 23 ID:z3NkUDPt0
    ネタがだいぶ古いようだが?
  23. 24 ID:UXGlVdm80
    情報を漏洩させないという観点ではBitLockerは正しく機能してると
    TPMを搭載してなければこんな無様なことにはならないけどランサムウェア対策と情報漏洩対策は二律背反だからしゃあないか
  24. 25 ID:UXGlVdm80
    >>17
    使ってない人がヤラれるという話
    この事例では最初からBitLockerが有効ならマルウェアは何も出来ない
  25. 26 ID:t9spYTAa0
    >>11
    カスペルスキーはウクライナ戦争の影響で色々と嫌疑がかかったが、「クロ」との報告は無い。よって「シロ」。
    カスぺの開発拠点はスイス、法人登記は英。よってロシア関連の懸念は杞憂に過ぎない。
  26. 27 ID:7zECtZtt0
    俺もカスペルスキーずっと愛用しているよ
    Norton先生がダメだった時から
  27. 28 ID:AL8sLSWa0
    ウクライナ侵攻でロシア製は使わないとかあった気がしたけど忘れた
  28. 29 ID:F+3OkFra0
    スペルマスキー
  29. 30 ID:dCIdfrCY0
    >>1
    何をどうすればいいのかわからない
    Windows捨てる時が来たのかな
  30. 31 ID:ypsa/Fl60
    何に恐れてるの
    何をどう盗まれてもまあ大丈夫だろ
    お金盗まれても返ってくるしな
    個人情報なんか嘘まみれで結局実際とは違うもんだわ
    あらかじめ自分っぽい偽物をSNSなどに大量に仕込んでおけば完璧
    偽物だらけで本物などわからないわ
  31. 32 ID:iz2drdgN0
    >>7
    ウンコリアンパヨクを雇うこと自体がリスクと知らしめたよなぱよぱよちーんがw
  32. 33 ID:RAPTh2050
    >>10
    標準にある機能を悪用しただけだから、実はそんなに難度は高くないのでは
  33. 34 ID:0h1g65q10
    >>12
    解除できないんですけどね
  34. 35 ID:agZni5Fd0
    >>4
    でもスマホはドライブ暗号化してるよね
    売却時に復元されない為には必要なんじゃね
  35. 36 ID:Oa1e2NZI0
    >>15
    スクリプトならぬスプリクト山下のbotネットの踏み台とかにされてるかも知れねーじゃねーか
    下手すると無能なケーサツに自宅を踏み込まれるかも知れんぞ?
  36. 37 ID:fW5zrepo0
    カスペルさん有能
  37. 38 ID:RU3tVR7J0
    普通の操作で有効にできる機能なんだからスクリプトでもいけるんだろうな
    被害はローカルファイルだけだからそこまでは大きくならないんだろうけど
  38. 39 ID:oashPi9p0
    これもうOSがウイルスだろ
  39. 40 ID:3n7N34yD0
    >>16
    サポートが対象外になるだけで動作はそれまで通りするんでないか?
  40. 41 ID:xa18zn4X0
    逆にこれはBitlockerを自分で有効にしておくことが対策なんだな
    でもBIOSアップとかの度に一時停止とかしなきゃあかんしめんどくさいんだよなー
  41. 42 ID:G7VFw7er0
    windowsのhome版はもともと使えないけど大丈夫なのか?
  42. 43 ID:WcB0MuI70
    カスペルスキーとかノートンとかホモっぽいマスコットだよな
  43. 44 ID:sTrGjA0f0
    掠める好きー
  44. 45 ID:wUjNnCcR0
    Win12て結局出るの出ないの?
  45. 46 ID:5iSSEmBY0
    >>9
    バカな人の笑うポイントは理解不能
  46. 47 ID:N1QLjcvl0
    ディフェンダーが何とかしてくれないの?
  47. 48 ID:5iSSEmBY0
    >>26
    世界は信じてない
  48. 49 ID:5iSSEmBY0
    >>12
    幸せそうで何よりです
  49. 50 ID:RU3tVR7J0
    俺はカスペよりもウイルスバスターのほうが被害くらったけどなw
  50. 51 ID:qFk3mEFb0
    まこういうランサムウェアで狙われるのは企業のPCだし個人ユーザはあまり気にせんでいいかと
    もしなったらOS再インストールすればいい
  51. 52 ID:5iSSEmBY0
    >>41
    バカは風邪を引かないってホントですか?
  52. 53 ID:f7X0RKU60
    アナログ最強
  53. 54 ID:4hHhd1Zo0
    カスペルスキー…
    あっ…
  54. 55 ID:XYeIf+EC0
    この動画ならやられる前にbitlocker有効にしていれば防げるのか?
  55. 56 ID:XYeIf+EC0
    なんか誤変換してしまった
    動画じゃなくて動作だ
  56. 57 ID:8H+Z9st/0
    >>1
    またもやWindows2000&WindowsXP最強伝説かー
  57. 58 ID:7F9+816n0
    Covid-19 もそうなんだが


    アンチヴィールスを造れるやつはヴィールスも造れそうだよな
  58. 59 ID:7F9+816n0
    >57

    NT4sp3 か 2ksp2 までだよ
  59. 60 ID:t/+mo2vT0
    なんかこれいまいち何言ってるのかよく分からないんだよね
    特に「復号キーを保護するプロテクトを削除する」のところ
  60. 61 ID:jU2CZH+j0
    PCを起動させなければいいのか ! (使えないじゃーん)
  61. 62 ID:zNYnJt3W0
    >>61
    windows を起動させなければいい
  62. 63 ID:5I5XF/Tt0
    いや、システム部があるような会社じゃないと
    クライアントのwindows proでもユーザー権限はadminのほうが多いと思うのだが。
  63. 64 ID:WdwrDh/V0
    おじさん「こりゃ、ビットロッカーじゃなくてバッドロッカーやないか、うわっはっはっはっ
  64. 65 ID:RPggBOcU0
    >>7
    朝鮮人は年中晒されてんじゃん
  65. 66 ID:Id9KamMH0
    Homeなら平気なのか
  66. 67 ID:kQSy4Jwj0
    標準機能でパソの中身を暗号化できて、その際にパスワードがいる。
    第三者が勝手に暗号化してパスワードも教えないため本来の所有者はどうにもならない、という話だよね。
  67. 68 ID:VebaVvjl0
    GPT4-Vの100分の1のサイズで同等の性能を誇るマルチモーダルモデル「Llama 3-V」が登場、トレーニング費用はたった8万円

    OpenAIがサム・アルトマンCEOを含む「安全・セキュリティ委員会」を設置、さらにGPT-4後継モデルのトレーニングを開始

    OpenAIの共同設立者が「GPT-2」をわずか90分の時間と3100円の費用で再現するレポートを公開
  68. 69 ID:aUl48A8G0
    BitLockerなんて毎回真っ先に殺してるわ
  69. 70 ID:luywcHCz0
    大多数の個人はWindows Homeエディションだろうから関係ないだろうな
  70. 71 ID:MahxnkB10
    次期windows 11 24H2はインストール時にBitLockerが自動でオンになります
    「Windows 11」の次期バージョンでhomeもストレージ暗号化技術「BitLocker」がデフォルトで有効化され
    クリーンインストールや再インストール時に自動的に適用されると報じた。
    必要に応じてユーザーは手動でBitLockerを無効化できるが混乱する可能性もあるという。
  71. 72 ID:bgrvEeJK0
    スクリプトがどうやってAdmin権限取っているのか気になるな。パーテーション変更やbitlocker制御できんだよ
  72. 73 ID:vMSwVv7f0
    そもそもWindows自体が時々バグって勝手にBitLockerかける時あるからな…
  73. 74 ID:MahxnkB10
    次のバージョンはクリーンや再インストール時に自動で有効化される仕様に変わるし
  74. 75 ID:ccEI9mFK0
    >>72
    これ管理者権限でVBS実行しないと意味無いなら普通の企業ユーザーには関係無いよね
    パーティション変更や暗号化なんて権限を普通は与えられてないし
  75. 76 ID:bgrvEeJK0
    >>25
    >>1を読む限りランサムVBScriptがAdmin権限の必要な操作をできちゃっていることが問題のように見えるけどね。たとえ予めbitlockerがオンだったとしても、改めて別な鍵で暗号化し直せちゃうと思うけど
  76. 77 ID:SXY7O1tg0
    カスペルスキー(ロシアの企業)なんて使うことはない
  77. 78 ID:bgrvEeJK0
    >>75
    VBScriptはそんなに使ったことがないんで、そのへんの仕様は俺は詳しくない。もしかしたらできちゃうのかも。ただVBScriptは11以降、OSから削除されるんじゃなかったかな
  78. 79 ID:bgrvEeJK0
    bitlockerはアイドリング時にゴリゴリ暗号化しにいく仕様だからマシンスペックが高くないともっさりするんだよね。しかもデフォで動いている

    皆が皆、そんな大事なデータ持ってないだろうに、ハードウェアの寿命も縮むだろうな
  79. 80 ID:TIJF1Vvv0
    BitLockerは本来、ストレージを暗号化することで
    PCの盗難・紛失時のリスクを低減するためのものだ

    そもそも、リモート機能悪用されて、権限悪用されて
    付いてる標準機能で、やられてるわけで

     MS 「新しいOSはウィルスに強い」 → OS買い換えてね → PCも最新に

      → アップデしてね → 他の部分が不具合 → 次のアプデしてね

     地獄ループ
  80. 81 ID:bgrvEeJK0
    エコじゃないな。小容量のセカンドドライブでも用意して、そこだけ暗号化。見られたくないデータは全てそっちに引っ越す、引っ越せるOS仕様とする、くらいがユーザーフレンドリー
  81. 82 ID:+24qy9aK0
    Windows 11 24H2から、VBScriptのサポートがオンデマンド機能(FOD)の1つとして利用可能になり
    既定でオンになります。
    Windows からの VBScript 廃止第 2 段階は、2027 年中に行われます。
    その年のバージョンの Windows で既定でオフになります。
    VBSの廃止はこんな感じ
  82. 83 ID:nGY0Uann0
    これ、マイクロソフトがやってることのコピーなんじゃね?
  83. 84 ID:mxEpe7td0
    カペルスキーはソニーの大規模ハッキングの原因を突き止めたよね
    原因はイランの原発に仕込まれていたウイルスと同じものだった。犯人は捕まっていない
    他はASUSのPCドライバに仕込まれていたウイルスも発見してたな
    優秀だと思うし、西側の諜報活動のカウンターみたいなポジなのでは?
  84. 85 ID:Db8Zpmir0
    マイクソって余計な機能追加して悪用されて対処しましたー、または削除しましたーって後手ばっかよな
  85. 86 ID:S+xPPUUT0
    XP最強ってことか
  86. 87 ID:iG+XASKh0
    うちはhomeバージョンだから大丈夫
  87. 88 ID:GIeNyUtU0
    ロシアの企業に言われたって
  88. 89 ID:bgrvEeJK0
    ロシアが敵なら発表せずに悪用するだろう。我々は敵ではないと暗に示したいんじゃないかな
  89. 90 ID:zQ+Ruk+Q0
    これBATファイルみたいなものを
    被害者自身が実行しなくちゃいけないんじゃね?
    知らんけど
  90. 91 ID:qAD4HVZ20
    PCバスター使うより
    カスペルスキーの方が遥かに安全
  91. 92 ID:qMMrN+7o0
    HPのパソコンはいつの頃からかBirLockerがデフォで設定されていて、ドラぶった時のデータ救出が困難になった
    今は買って即チェックしてBL外してるわ
    業務ならともかく個人用PCにBLは過剰装備
  92. 93 ID:UXGlVdm80
    >>76
    別のカギで暗号化するには先に使用中のカギが必要だから大丈夫なはず
    ヘンな穴が無ければ
  93. 94 ID:GmxwpwMz0
    >>92
    hpじゃなくてもは今のメーカー製はかなりの量HomeでもBitlocker掛かる
  94. 95 ID:KHUzMH4j0
    つまり、変な文書ファイルとかを開くなってことか?
  95. 96 ID:bgrvEeJK0
    >>93
    >>1 復号キーを保護するプロテクトを削除、とあるから穴はあるようだぞ。というか再暗号化すら必要ないな。鍵だけ取り上げてしまえば良い

    本ランサムウェアでは未対応かもしれんけど、そういったこともできる亜種は簡単に生まれそうだ
  96. 97 ID:bgrvEeJK0
    と、思ったがユーザーが鍵を外部に複製しているかもしれんから、身代金目当てならやはり再暗号化はしなきゃならないか
  97. 98 ID:tf9GP2n50
    WindowswUpdate来るな
  98. 99 ID:UXGlVdm80
    >>96
    たぶんTPMをクリアするだけだと思う

    複号キーはかなり長いバイナリ列でBitLockerを有効化するときにTPMに格納される
    外部にもバックアップするよう言われるからそれに従っていればTPMをクリアされても元に戻せるよ
  99. 100 ID:UXGlVdm80
    BitLockerでストレージを別のキーで暗号化するためには一度TPMから複号キーを取り出す必要があるけどパスワードが分からないと取り出せない
    TPMを初期化する(=複号キーを消す)だけならパスワード知らなくても出来るんだけど
  100. 101 ID:hLdQBp6/0
    マスターキーみたいなのをMSが持てばええんと違う?
    洩れたら最悪ではあるが
  101. 102 ID:CUphn0s10
    それでもまだ挑戦メッセンジャー使ってる謎
  102. 103 ID:GJ2fcgrQ0
    カスペはな、自作自演やって評価落とした過去があるからな
  103. 104 ID:zCblTzdw0
    こんなの作るスキルがあれば、普通に稼げると思うのに
    ウィルス作ってる奴って実はアホかな
  104. 105 ID:nwLXSir60
    カスペも怪しいんだが
  105. 106 ID:JnRtyzsf0
    >>15
    7は標準のファイアウォールで割と強固らしいぞ
  106. 107 ID:n30RRFRK0
    パソコン先生は誰が書いたかわからないような野良exeを簡単に実行し過ぎ。アホを教育するのが最優先ジャネーノ?