[[431164]]

總部位于新西蘭的網(wǎng)絡(luò)安全公司 Emsisoft 一直在悄悄地幫助 BlackMatter 勒索軟件的受害者恢復(fù)被加密的文件，防止了“數(shù)千萬美元”的贖金支付，并可能標(biāo)志著 BlackMatter 事件的永久結(jié)束。作為 DarkSide(用來攻擊 Colonial Pipeline)勒索軟件的升級，BlackMatter 于今年 7 月首次出現(xiàn)。

最近 CISA 專門針對該勒索軟件發(fā)出警告，表示它針對被視為關(guān)鍵基礎(chǔ)設(shè)施的組織進(jìn)行了“多次”攻擊，包括美國食品和農(nóng)業(yè)部門的兩次攻擊。該勒索軟件作為一種服務(wù)操作，也是最近對奧林巴斯的攻擊的罪魁禍?zhǔn)祝@迫使這家日本科技巨頭關(guān)閉了其歐洲、中東和非洲地區(qū)的業(yè)務(wù)。

EMSIsoft 今年早些時候發(fā)現(xiàn)，與 DarkSide 一樣，BlackMatter 的加密機(jī)制有一個漏洞，允許 Emsisoft解密文件，BlackMatter 的加密過程也有一個漏洞，允許它恢復(fù)加密的文件而不必支付贖金。Emsisoft 直到現(xiàn)在才透露這個漏洞的存在，因?yàn)樗鼡?dān)心會讓 BlackMatter 集團(tuán)立即推出一個修復(fù)程序。

Emsisoft 首席技術(shù)官 Fabian Wosar 在一篇博客文章中說：“了解 DarkSide 過去的錯誤，當(dāng) BlackMatter 對他們的勒索軟件有效載荷進(jìn)行修改，使我們能夠再次恢復(fù)受害者的數(shù)據(jù)而無需支付贖金時，我們感到很驚訝”。

在發(fā)現(xiàn)漏洞之后，Emsisoft 就向執(zhí)法部門、勒索軟件談判公司、事件響應(yīng)公司、國家計算機(jī)應(yīng)急準(zhǔn)備小組(CERT)和值得信賴的合作伙伴通報了其解密能力的信息。這使得這些受信任的各方能夠?qū)? BlackMatter 受害者推薦給 Emsisoft，以恢復(fù)其文件，而不是支付贖金。

Wosar 表示：“從那時起，我們一直在忙于幫助BlackMatter受害者恢復(fù)他們的數(shù)據(jù)。在多個國家的執(zhí)法機(jī)構(gòu)、CERT和私營部門合作伙伴的幫助下，我們能夠接觸到許多受害者，幫助他們避免了數(shù)千萬美元的要求”。Emsisoft 還聯(lián)系了通過 BlackMatter 樣本和公開上傳到各個網(wǎng)站的贖金筆記發(fā)現(xiàn)的受害者。