荷蘭智取勒索軟體集團Deadbolt，利用比特幣交易空窗獲得逾150個解密金鑰

荷蘭警方上周宣布，已與當地資安業者Responders.NU合作，成功向勒索軟體集團Deadbolt取回了逾150個解密金鑰，而Responders則向《BleepingComputer》透露，他們是利用比特幣的交易空窗，在駭客還沒真正取得贖金之前，就獲得了解密金鑰，並撤回交易。

在去年1月現身的Deadbolt與其它的勒索軟體有些不同，有別於大多數勒索軟體都是針對網路上的電腦展開攻擊，企圖加密特定網路的所有電腦與重要檔案，Deadbolt一開始就是鎖定網路附加儲存（Network-Attached Storage，NAS）設備，著眼於加密使用者於NAS上的重要備份。

今年2月，華碩集團旗下華芸科技（Asustor）NAS設備即遭DeadBolt勒索軟體攻擊，9月的受害者則是威聯通（QNAP）的NAS設備。

荷蘭警方僅簡單地說，他們先向DeadBolt勒索軟體集團支付了贖金，取得了加密金鑰，再撤回所支付的金額，因而成功取得了逾150個解密金鑰，受害者則無需支付任何費用。

不過，Responders.NU向《BleepingComputer》說明，駭客在偵測到受害者執行正確金額的比特幣交易後就透過系統自動地送出解密金鑰，由於比特幣區塊鏈的壅塞，再加上警方僅提供低廉的交易手續費，使得區塊鏈需要更久的時間才能確認交易，警方即趁此空窗期，在取得金鑰之後立即撤回交易，並只損失了交易手續費。

即使駭客在幾分鐘之內就發現了警方的技倆，但那時荷蘭警方已成功取回了155個解密金鑰，可協助9成曾向警方報案的受害者解鎖。此外，DeadBolt勒索軟體集團也因受到國際警方的關注，而被迫關閉了系統。

荷蘭警方表示，此次的行動有賴於全球13個國家的資訊分享，受益的主要是那些曾向當地執法機關報案的受害者，並呼籲全球受害者都應主動報案，以讓警方能快速辨識其身分並提供解密金鑰。受害者可透過deadbolt.responders.nu網站來確認是否有適用的解密金鑰。