荷蘭警方觀察到黑客發現受害者以比特币付款後、通過系統自動送出解密密鑰的作業時程有破綻,而得以在取得密鑰之後立即撤回交易
荷蘭警方上周宣布,已與當地Responders.NU合作,成功向勒索軟體集團Deadbolt取回了逾150個解密密鑰,而Responders則向《BleepingComputer》透露,他們是利用比特币的交易空窗,在黑客還沒真正取得贖金之前,就獲得了解密密鑰,并撤回交易。
在去年1月現身的Deadbolt與其它的勒索軟體有些不同,有别于大多數勒索軟體都是針對網絡上的電腦展開攻擊,企圖加密特定網絡的所有電腦與重要檔案,Deadbolt一開始就是鎖定網絡附加儲存(Network-Attached Storage,NAS)裝置,着眼于加密使用者于NAS上的重要備份。
今年2月,華碩集團旗下華芸科技(Asustor)NAS裝置即遭DeadBolt勒索軟體攻擊,9月的受害者則是威聯通(QNAP)的NAS裝置。
荷蘭警方僅簡單地說,他們先向DeadBolt勒索軟體集團支付了贖金,取得了加密密鑰,再撤回所支付的金額,因而成功取得了逾150個解密密鑰,受害者則無需支付任何費用。
不過,Responders.NU向《BleepingComputer》說明,黑客在偵測到受害者執行正确金額的比特币交易後就透過系統自動地送出解密密鑰,由于比特币記憶體塊鍊的壅塞,再加上警方僅提供低廉的交易手續費,使得記憶體塊鍊需要更久的時間才能确認交易,警方即趁此空窗期,在取得密鑰之後立即撤回交易,并隻損失了交易手續費。
即使黑客在幾分鐘之内就發現了警方的技倆,但那時荷蘭警方已成功取回了155個解密密鑰,可協助9成曾向警方報案的受害者解鎖。此外,DeadBolt勒索軟體集團也因受到國際警方的關注,而被迫關閉了系統。
荷蘭警方表示,此次的行動有賴于全球13個國家的資訊分享,受益的主要是那些曾向當地執法機關報案的受害者,并呼籲全球受害者都應主動報案,以讓警方能快速辨識其身份并提供解密密鑰。受害者可透過deadbolt.responders.nu網站來确認是否有适用的解密密鑰。
#頭條創作挑戰賽#