可悲的是,我们需要涵盖 DEADBOLT 勒索软件 几次 before 关于裸体安全。
近两年来,勒索软件网络犯罪领域的这个小众玩家一直以与大多数当代勒索软件攻击截然不同的方式主要针对家庭用户和小型企业:
如果您在大约十年前涉足网络安全,当勒索软件刚开始成为网络黑社会的巨额摇钱树时,您会记得当时对勒索软件的所有“知名品牌”都不感兴趣: CryptoLocker, Locky, TeslaCrypt等等。
通常情况下,勒索软件犯罪的早期参与者依赖于向与他们一样多的个人索取大约可以承受的费用,如果你跳过去酒吧一个月或三次勒索付款可以。
不像今天的大联盟勒索软件骗子,你可以总结为 “旨在数百次勒索公司数百万美元”,早期的玩家走上了一条更注重消费者的路线 “以每人 300 美元勒索数百万人” (或 600 美元或 1000 美元——金额不同)。
这个想法很简单:通过在您自己的笔记本电脑上打乱您的文件,骗子无需担心互联网上传带宽并试图窃取您的所有文件,以便他们以后可以将它们卖回给您。
他们可以将您所有的文件留在您面前,显然是显而易见的,但完全无法使用。
例如,如果您尝试使用文字处理器打开一个打乱的文档,您要么会看到充满数字卷心菜丝的无用页面,要么会弹出一条消息,表示应用程序无法识别文件类型,无法打开它根本没有。
计算机工作,数据不工作
通常,骗子会不遗余力地让您的操作系统和应用程序完好无损,而是专注于您的数据。
出于几个重要原因,他们实际上并不希望您的计算机完全停止工作。
首先,他们希望您看到并感受到您的宝贵文件离您有多近但又那么远的痛苦:您的婚礼照片、婴儿视频、纳税申报表、大学课程作业、应收账款、应付账款以及您所有其他数字数据几个月来一直想备份,但还没有完全解决。
其次,他们希望您看到他们留下的带有戏剧性图像的大字中的勒索便条,安装为您的桌面墙纸,这样您就不会错过它,并附有有关如何获取您需要回购的加密货币的说明解密数据的解密密钥。
第三,他们想确保你仍然可以在浏览器中上网,首先是徒劳地搜索“如何在不付费的情况下从 XYZ 勒索软件中恢复”,然后在绝望和绝望中找到一个伙伴你知道可以帮助你救援行动的加密货币部分。
不幸的是,这个可恶的犯罪阴谋的早期参与者,尤其是 CryptoLocker 团伙,在快速准确地回复已付款的受害者方面相当可靠,赢得了一种“盗贼中的荣誉”的声誉。
这似乎让新的受害者相信,尽管付出的所有代价都在不久的将来烧毁了他们的财务状况,而且这有点像与魔鬼做交易,但很可能会取回他们的数据。
相比之下,现代勒索软件攻击通常旨在同时将整个公司(或学校、医院、市政当局或慈善机构)的所有计算机置于现场。 但是创建在整个网络中可靠工作的解密工具是一项非常困难的软件工程任务。 事实上,依靠骗子取回数据是一项冒险的工作。 在里面 2021 Sophos 勒索软件调查, 1/2 支付的受害者丢失了至少 1/3 的数据,其中 4% 的受害者一无所获。 2022年,我们发现我们发现中途点更糟糕,1/2 的付费用户丢失了 40% 或更多的数据,只有 4% 的用户恢复了所有数据。 在臭名昭著的 殖民地管道 勒索软件攻击,该公司表示不会支付,然后臭名昭著地支付了超过 4,400,000 美元,却发现犯罪分子提供的解密工具太慢而无法使用。 因此,如果他们没有支付骗子的话,他们最终会承担所有的恢复成本,再加上 4.4 万美元的支出,这就像被冲进下水道一样好。 (令人惊讶的是,显然是由于犯罪分子操作网络安全性差, FBI最终恢复了 Colonial 支付了大约 85% 的比特币。 但是,不要依赖那种结果:如此大规模的回拨是罕见的例外,而不是规则。)
利润丰厚的利基市场
DEADBOLT 骗子似乎找到了一个 有利可图的利基市场 他们自己的,因此他们不需要闯入您的网络并在其中的所有计算机上工作,他们甚至不需要担心将恶意软件潜入您的笔记本电脑或您的任何常规计算机家庭、办公室或两者兼而有之。
相反,他们使用全局网络扫描来识别未打补丁的 NAS 设备(网络附加存储),通常是来自主要供应商 QNAP 的那些,并直接打乱文件服务器设备上的所有内容,而无需触及网络上的任何其他内容。
这个想法是,如果您像大多数人在家里或小型企业中一样使用 NAS——用于备份,以及作为大文件(如音乐、视频和图像)的主存储——那么失去对 NAS 上所有内容的访问权限是可能至少与丢失所有笔记本电脑和台式计算机上的所有文件一样具有灾难性,甚至可能更糟。
因为您可能一直打开您的 NAS 设备,所以骗子可以随时闯入,包括您最有可能睡着的时候; 他们只需要攻击一台设备; 无论您使用的是 Windows 还是 Mac 电脑,他们都无需担心……
…并且通过利用设备本身中未修补的错误,他们不需要欺骗您或您网络中的任何其他人下载可疑文件或点击可疑网站来获得最初的立足点。
骗子甚至不必担心会通过电子邮件或桌面壁纸向您发送消息:他们会在您的 NAS 设备的 Web 界面中狡猾地重写登录页面,因此当您下次尝试登录时,也许会找出原因你所有的文件都搞砸了,你就会面临敲诈勒索的要求。
更狡猾的是,DEADBOLT 骗子已经找到了一种对付你的方法,它可以避免任何电子邮件通信(可能是可追踪的),不需要暗网服务器(可能很复杂),并且回避任何谈判:这是他们的方式,或者是数据高速公路。
简而言之,每个受害者都会收到一个一次性的比特币地址,他们被告知向该地址发送 BTC 0.03(目前 [2022-10-21] 略低于 600 美元):
交易本身既可以作为信息(“我决定付清”),也可以作为支付本身(“这是资金”)。
然后,骗子会向您发送 0 美元作为回报——这笔交易没有财务目的,但包含 32 个字符的评论。 (比特币交易可以包含称为字段的附加数据 OP_RETURN
不转移任何资金,但可用于包含评论或注释。)
这 32 个字符是十六进制数字,代表 16 字节的 AES 解密密钥,该密钥对您的加扰 NAS 设备是唯一的。
您将 BTC 交易中的十六进制代码粘贴到勒索软件“登录页面”中,该过程会启动一个由骗子留下的解密程序,该程序会解密(您希望!)您的所有数据。
报警!
但这个故事有一个迷人的转折。
荷兰警方与一家具有加密货币专业知识的公司合作,提出了一个 他们自己的诡计 以抵消 DEADBOLT 犯罪分子的鬼鬼祟祟。
他们注意到,如果受害者发送比特币付款以买回解密密钥,那么骗子显然会在 BTC 支付交易到达比特币网络以寻找“挖掘”它的人后立即回复解密密钥……
…而不是等到比特币生态系统中的任何人报告他们实际上已经挖掘了交易并因此第一次确认它。
换句话说,打个比方,骗子让您在等待您的信用卡付款通过之前带着产品走出他们的商店。
尽管您不能明确取消 BTC 交易,但您可以同时发送两笔相互冲突的付款(行话中称为“双花”),只要您对第一个收到的付款感到高兴拾取、挖掘和“确认”的内容将通过并最终被区块链接受。
另一笔交易最终将被丢弃,因为比特币不允许双花。 (如果是这样,系统将无法工作。)
粗略地说,一旦比特币矿工发现一笔尚未处理的交易涉及其他人已经“开采”的资金,他们就会停止处理未完成的交易,理由是它现在对他们来说毫无价值。
这里不涉及利他主义:毕竟,如果网络中的大多数人已经决定接受另一笔交易,并将其作为“社区接受为有效的交易”纳入区块链,那么尚未消失的冲突交易对于采矿目的来说,通过但比无用更糟糕。
如果你继续尝试处理冲突的交易,那么即使你最终成功地“挖掘”了它,也没有人会接受你的二次确认,因为没有任何东西可以让他们这样做……
......所以你提前知道你永远不会因为你的冗余采矿工作而获得任何交易费用或比特币奖金,因此你预先知道在它上面浪费任何时间或电力是没有意义的。
只要没有人(或矿池,或矿池卡特尔)控制超过 50% 的比特币网络,就没有人能够支配足够的时间和精力来“取消确认”一个已经被接受的通过创建一个超过所有现有确认的新确认链来进行交易。
提供更多的钱...
鉴于我们刚刚提到 交易费用,您可能会看到这是怎么回事。
当矿工成功确认最终被区块链接受的交易(实际上是一堆交易)时,他们将获得新铸造的比特币奖励(目前为 BTC6.25),以及提供的所有费用捆绑中的每笔交易。
换句话说,你可以通过提供比其他人多一点的交易费用来激励矿工优先考虑你的交易……
…或者如果您不着急,您可以提供较低的交易费用,并从采矿社区获得较慢的服务。
事实上,如果你真的不在乎需要多长时间,你可以提议支付零比特币作为交易费用。
这就是荷兰警察为来自 155 个不同国家的 13 名受害者所做的事情,这些受害者曾寻求帮助以取回他们的数据。
他们从自己选择的 BTC 地址向骗子发送了 155 笔付款,所有款项都提供支付零交易费用。
骗子显然依靠脚本化的自动过程,迅速发回了解密密钥。
警察拿到每个解密密钥后,立即发出“双花”交易……
......这次提供了诱人的费用,以换取他们最初提供给骗子的相同资金,而不是返还给他们自己!
猜猜哪些交易首先引起了矿工的注意? 猜猜哪些被证实了? 猜猜哪些交易一无所获?
比特币社区像烫手山芋一样放弃了向犯罪分子付款的提议, before 骗子得到了报酬,但是 after 他们泄露了解密密钥。
一次性结果
好消息…
......当然,除了这个陷阱(如果它是合法的,这不是一个诡计!)将不再起作用。
不幸的是,未来骗子所要做的就是等到他们的付款得到确认后再回复解密密钥,而不是在每个交易请求第一次出现时立即触发。
尽管如此,警察 这次智取了骗子,并且 155 人免费取回了他们的数据。
或者至少几乎没有 - 交易费用是使计划生效所必需的小问题,尽管至少这些钱没有直接流向骗子。 (费用由每笔交易的矿工承担。)
这可能是一个相对温和的结果,也可能是一次性的胜利,但我们仍然赞扬它!
缺乏时间或专业知识来处理网络安全威胁响应? 担心网络安全最终会分散您对所有其他需要做的事情的注意力?
进一步了解 Sophos 托管检测和响应:
24/7 威胁追踪、检测和响应 ▶