早前臭名昭著的勒索軟件團夥Lockbit被國際聯合執法機構打擊,FBI通過PHP漏洞入侵Lockbit泄露數據的網站並由英國國傢打擊犯罪局扣押這個暗網站點。此次行動是在歐洲刑警組織的協調下,由法國、德國、荷蘭、瑞典、澳大利亞、加拿大、日本、美國、瑞士的執法機構聯合進行的,目前打擊行動仍然在持續中,部分牽涉Lockbit的犯罪分子被逮捕。
而在今天由歐洲刑警組織聯合安全公司搭建的 No More Ransom 網站上,日本警方發佈 Lockbit 3.0 版的解密工具,該工具可以用來解密部分被加密的文件。
No More Ransom 主要提供各種解密工具,即執法機構和安全公司合作,在破獲勒索軟件後利用尋找的解密密鑰提供專用的解密工具。
遺憾的是勒索軟件通常都有很多變種並且很容易修改加密公鑰,因此各種解密工具的范圍有限,並不是所有被同一款勒索軟件加密的文件都可以恢復。
日本警方提供的解密工具:
據日本警方發佈的消息,其實在 2023 年 12 月日本警方就已經通過逆向工程和收集的一些關鍵數據開發這款解密工具,當時也就提供歐洲刑警組織。
但為保密避免破壞相關行動以及避免黑客變更策略,所以這款解密工具一直沒有公佈,直到本周聯合執法機構開展打擊行動後,歐洲刑警組織才公佈解密工具。
該工具已經進行測試,可以解密文件,並且不需要聯網,也就是說受害者可以在離線環境中對數據進行解密。
歐洲刑警組織也制作一份使用指南 (僅英文版),該指南主要包含兩個工具,第一個是評估工具,用來評估數據是否可以解密;第二個是解密工具。
但正如上文所說,歐洲刑警組織也承認他們已經盡最大努力,但仍然無法保證所有受害者的文件都可以解密。
還有個問題是目前該工具為命令行版本並且是 0.5 版,估計後續歐洲刑警組織會推出 GUI 版,方便普通用戶點點鼠標也能解密數據。
下載地址:http://www.nomoreransom.org/en/decryption-tools.html#Lockbit30