Holländsk polis i samarbete med ett cybersäkerhetsföretag har lurat gänget Deadbolt ransomware att ge sina dekrypteringsnycklar, nästan gratis!
Polisen har förstått hur DeadBolts lösenutbetalning och dekrypteringsprocess skulle ske och utnyttjade ett kryphål i processen. Och genom att betala en liten transaktionsavgift till Bitcoin-blockkedjan fick de framgångsrikt 155 dekrypteringsnycklar och erbjuder gratis till offren.
Utnyttja ett kryphål i processen
DeadBolt är en ransomware-grupp som har varit mycket aktiv sedan början av detta år, som träffar tusentals QNAP- och Asustor Network Attached Storage-enheter (NAS) och ber om 0,03 bitcoin-lösensummor efter att ha krypterat dem.
Även om det fungerade som alla andra ransomware-grupper, holländsk polis och cybersäkerhetsföretaget Responders.NU upptäckte ett fel i deras operativa process och utnyttjade den för att få dekrypteringsnycklarna nästan gratis!
Som de noterade, när ett offer betalar en lösensumma till DeadBolt-gruppen – genom att skicka en bitcointransaktion med rätt lösensumma – släpper de automatiskt dekrypteringsnyckeln utan att vänta på nätverksbekräftelser!
Till det okända kan en bitcoin-transaktion gjord av en part endast garanteras om den kommer in i den berörda blockkedjan och bearbetar med minst 2-3 nätverksbekräftelser.
Och eftersom DeadBolts betalningssystem försummar nätverksbekräftelserna – samtidigt som de bara tittar på transaktioner – släpper det automatiskt dekrypteringsnyckeln!
Polisen hade utnyttjat detta kryphål genom att göra en lämplig lösensumma till DeadBols adress, med en låg avgift, när Bitcoin-blockkedjan var hårt överbelastad och fick dekrypteringsnycklarna. Men snart avbröt de betalningen innan transaktionen blockerades och återbetalade sig själva lösensumman!
Denna taktik fungerade och hjälpte dem att få 155 dekrypteringsnycklar – genom att bara förlora nätverkstransaktionsavgifterna, som är minimala. När DeadBolts ransomware insåg misstaget ökade de för att ge minst två bekräftelser innan de släppte dekrypteringsnycklar.
Tja, vinnarna av spelet har redan satt upp en webbplats för att hjälpa DeadBolt-offren – som har eller inte har rapporterat sina incidenter – för att få en gratis dekrypteringsnyckel för att låsa upp de krypterade filerna.
