勒索软件仍然是黑客们瞄准各行各业的首选工具,旨在通过恢复文件访问权来获取最大的支付金额——这是一项极为赚钱的业务。尽管政府反对支付赎金,但勒索软件团伙在2023年上半年仍然从受害者那里敲诈走了4.49亿美元。为了应对这一趋势,安全专家与执法部门合作开发免费的解密工具,帮助解锁文件并减轻受害者支付赎金的倾向。
对于勒索软件的描述通常采用几种策略:利用漏洞进行逆向工程、与执法部门合作,以及利用公开可用的加密密钥。解密过程的持续时间取决于代码的复杂性,需要受感染文件的详细信息、未加密的文件对应项以及来自黑客组织的服务器数据。据 Avast 杀毒软件的恶意软件研究主管 Jakub Kroustek 表示,仅拥有加密文件输出是徒劳的;获取样本本身,即可执行文件,是至关重要的。尽管具有挑战性,但成功的解密过程对受影响的受害者带来了重大的好处。
首先,了解加密的基本原理是至关重要的。以一个简单的例子来说明,假设一段数据原本是可识别的句子,但加密后变成了类似于“J qsfgfs dbut up epht”的乱码。通过在加密文本中识别一个已知单词,比如“cats”,我们可以分辨出应用于原始文本以生成加密结果的模式。在这种情况下,模式涉及到将每个字母在标准英文字母表中向前移动一个位置:A 变成 B,B 变成 C,依此类推,最终产生上述混乱的字符串。虽然勒索软件的加密方法要复杂得多,但基本原理保持一致。加密模式,也称为“密钥”,使研究人员能够开发解密工具。
某些加密技术,比如具有128、192或256位密钥的高级加密标准,几乎是不可破解的。在最高级别上,未加密的“明文”数据被分成块,并经过14轮转换后以加密或“密文”的形式输出。目前,能够破解此类加密的量子计算技术尚不可用。幸运的是,对于受害者来说,黑客通常会选择较弱的加密方法,而不是像 AES 这样的强大选项。
尽管某些加密方案几乎是不可破解的,但掌握它们背后的科学仍然具有挑战性,而经验不足的黑客容易犯错。当黑客偏离 AES 等标准方案,选择自己开发时,研究人员可以对代码进行漏洞检查。正如卡巴斯基的网络安全研究员 Jornt van der Wiel 所解释的那样,这类努力的动机通常源自自我,对加密密钥的骄傲。
根据 Kroustek 的说法,勒索软件描述符利用软件工程和密码学方面的专业知识来获取勒索软件密钥,并随后制作解密工具。高级密码学方法可能需要暴力破解策略或根据可用信息进行有根据的猜测。黑客可能会使用伪随机数生成器来生成密钥。与真随机数生成器不同,后者是不可预测的,而伪随机数生成器依赖于现有的模式来模拟随机性,比如创建的时间。通过识别部分这些模式,研究人员可以系统地测试各种时间值,直到推断出密钥。
保护解密密钥通常涉及与执法部门合作,以获取有关黑客组织运营的见解。如果研究人员设法获取到黑客的 IP 地址,他们可以请求当地当局查封服务器并获取其内容的内存转储。另外,如果黑客使用代理服务器来隐藏他们的位置,执法部门可以使用诸如 NetFlow 之类的流量分析工具来追踪流量的目的地,并检索相关信息,如 van der Wiel 所言。《布达佩斯网络犯罪公约》通过在等待正式授权期间,使警方能够紧急请求另一个国家的服务器镜像,促进了跨国界的此类合作。
服务器为研究人员提供了有价值的信息,例如黑客的目标或勒索敲诈技术。这些信息为勒索软件描述符提供了有关黑客使用的加密过程、加密密钥的具体信息或有助于逆向工程的文件访问。研究人员会仔细检查服务器日志,寻找类似于协助朋友调查 Tinder 约会的线索或模式。例如,研究人员可能会发现明文文件的片段,用以与加密文件进行比较,从而启动逆向工程过程,或者确定伪随机数生成器的组件,阐明加密模式。
与执法部门的合作在开发 Babuk Tortilla 勒索软件的解密工具中发挥了关键作用。这种变种针对医疗保健、制造业和关键国家基础设施,加密受害者的设备并消除了宝贵的备份。尽管 Avast 之前已经制定了一个通用的 Babuk 描述符,但 Tortilla 型号却带来了严峻的挑战。
然而,解密工具通常是由勒索软件团伙自己采取行动产生的。无论是因为退休还是心情突变,攻击者偶尔会公开发布他们的加密密钥。安全专家可以利用这些密钥来制作解密工具,随后为受害者发布使用。
通常,专家们避免透露解密过程的详细信息,以防止给予勒索软件团伙优势。分享常见错误可能会无意中帮助黑客改进未来的勒索软件活动。同样,披露正在进行的解密工作可能会引起团伙对潜在发现的警觉。然而,避免支付的最有效策略是采取主动措施。保持数据的全面备份极大地降低了屈服于勒索要求的可能性。