How can security experts unravel ransomware

• 基于黑客的不法行为，越来越多的安全专家正在与执法部门合作，提供免费的解密工具。
• 勒索软件解密者通过几种主要方式开发工具：逆向工程错误、与执法部门合作以及收集公开可用的加密密钥。

黑客猖獗的时代

黑客利用 勒索软件 追踪每个行业，尽可能多地索要赎金 以获取受害者的文件。这是一门赚钱的生意。2023年上半年，勒索软件团伙从其目标处骗取了4.49亿美元。
然而，越来越多的安全专家正与执法部门合作，提供免费的解密工具。

另请阅读： 黑客似乎永远不会满足于加密货币盗窃！

几种常见的解决方案

勒索软件解密者开发工具有几种主要方法：逆向工程错误、与执法部门合作以及收集公开可用的加密密钥。整个过程的长短取决于代码的复杂性，但通常需要有关加密文件、文件未加密版本以及黑客组织提供的服务器信息。 另见: FCC 以许可限制支持光纤建设者.

“仅仅拿到加密后的输出文件通常没用。你需要样本本身，即可执行文件，”反病毒企业Avast的恶意软件研究主管Jakub Kroustek说。“这并不容易，但当它成功时，确实能为受影响的受害者带来好处。” 另见: Ofcom 揭露英国铁路移动覆盖差距.

Kroustek说，勒索软件解密者将利用他们在软件工程和密码学方面的知识来获取勒索软件密钥，并据此创建解密工具。更高级的加密过程可能需要暴力破解，或基于现有信息做出合理猜测。有时，黑客会使用伪随机数生成器来创建密钥。真正的随机数生成器是随机的，但这意味着它不易预测。正如van der Wiel所解释的，伪随机数生成器可能依赖于某种现有模式，以使其看起来随机，但实际上并非如此——例如，该模式可能基于其创建时间。如果研究人员知道其中一部分，他们可以尝试不同的时间值，直到推断出密钥。 另见: 欧盟重写人工智能基础设施主权规则.

但获取密钥通常需要与执法部门合作，以获取有关黑客组织运作方式的更多信息。如果研究人员能够获得黑客的IP地址，他们可以请求当地警方查封服务器并获取服务器内容的存储转储。或者，如果黑客使用代理服务器隐藏其位置，警方可以使用NetFlow等流量分析工具来确定流量的去向并从中提取信息，Vanderwiel说。布达佩斯网络犯罪公约使跨境犯罪打击成为可能，因为它允许警方在等待正式请求通过期间，紧急请求另一个国家的服务器镜像。 另见: 欧盟限制美国卫星运营商接入频谱.

另请阅读：追回6.74亿美元加密货币，被盗总额26亿美元

与执法部门合作

与执法部门合作，帮助思科Talos创建了针对Babuk tortilla勒索软件的解密工具。该版本的勒索软件针对医疗保健、制造业和国家基础设施，加密受害者的设备并删除有价值的备份。Avast已经创建了通用的Babuk解密器，但事实证明tortilla变种难以破解。荷兰警方与思科Talos合作逮捕了该病毒的幕后黑手，并在此过程中获得了tortilla的解密器。 另见: FCC 要求美国海底电缆登陆须获许可.

一般来说，专家不能分享太多关于该过程的信息，以免让勒索软件团伙占得先机。如果他们透露常见错误，黑客可以利用它们轻松改进下一次勒索软件攻击。如果研究人员告诉我们他们正在处理哪些加密文件，犯罪团伙就会知道他们已被盯上。但避免上述情况的最佳方法是主动防范。 另见: 美国封堵海外AI芯片采购漏洞.