昨晚,據稱是惡意軟體開發者在國外 BleepingComputer 論壇上發帖,公開了 Maze、Egregor 和 Sekhmet 勒索軟體操作的主解密金鑰。經安全公司 Emsisoft 確認這些解密金鑰是合法的,該公司勒索軟體專家和威脅分析師 Brett Callow 表示解密金鑰的釋出是高壓政策下讓網路犯罪分子已經感到擔憂。
Maze 勒索軟體於 2019 年 5 月開始運作,並迅速成名,因為他們負責使用現在許多勒索軟體運作所使用的資料盜竊和雙重勒索戰術。在 Maze 於 2020 年 10 月宣佈關閉後,他們在 9 月重新命名為 Egregor,後來在成員在烏克蘭被捕後,他們消失了。Sekhmet行動在某種程度上是一個例外,因為它在2020年3月啟動,而Maze仍在活動。
在 14 個月之後,上述三款勒索軟體的解密金鑰由一名網名為“Topleak”的使用者洩露,他自稱是所有三款勒索軟體的開發者。
發帖人說,這是一次有計劃的洩漏,與最近的執法行動沒有關係,這些行動導致伺服器被查封,贖金軟體的附屬公司被逮捕。
“Topleak”表示:“公開解密金鑰是因為引起太多的線索,而且大部分都是假的,所以有必要強調這是一次有計劃的洩漏,與最近的逮捕和取締行動沒有任何聯絡”。他們進一步表示,他們的團隊成員都不會再回到勒索軟體領域,而且他們銷燬了勒索軟體的所有原始碼。
該帖子包括一個 7zip 檔案的下載連結,該檔案有四個檔案,包含Maze、Egregor和Sekhmet的解密金鑰,以及勒索軟體團伙使用的'M0yv'惡意軟體的原始碼。這些檔案中的每一個都包含公共主加密金鑰和與特定"廣告"相關的私人主解密金鑰,或勒索軟體操作的附屬機構。
以下是每個勒索軟體操作所釋出的RSA-2048主解密金鑰的總數。
● Maze:針對非企業使用者的原始惡意軟體的9個主解密金鑰。
● Maze:30個主解密金鑰。
● Egregor:19個主解密金鑰。
● Sekhmet。1個主解密金鑰。
EMSIsoft的Michael Gillespie和Fabian Wosar已經審查了這些解密金鑰,並向BleepingComputer證實,它們是合法的,可以用來解密被這三個勒索軟體家族加密的檔案。
