第一線對抗勒索軟體的無名英雄

二○一三年四月，莎拉祖父的電腦被惡意軟體感染，為了尋找解決方法，她找到嗶嗶電腦，利用站上提供的工具掃描硬碟把檔案修好。網站上有一名熱心人士自願幫她清理電腦。「哇喔！這感覺挺酷的！」莎拉心想：「要不我也試著加入看看？」

不久之後，她就開始參加嗶嗶電腦的訓練計劃。他們安排她閱讀資安相關的資料並讓她練習。每天莎拉放學回家就會在論壇待上幾個小時，學著怎麼移除惡意軟體。她說：「我當時對此充滿熱情。」到最後一關，指導員在一台虛擬機器中灌入名為「ZeroAccess」的惡意軟體。這款惡意軟體曾滲透過數百萬台電腦系統，通常是在受害者打開受感染檔案或連結時入侵。莎拉通過測試移除了ZeroAccess，完成她為期十一個月的訓練課程。二○一四年，她以這項訓練計畫中最年輕的畢業生身分，加入嗶嗶電腦的惡意軟體應變小組。

莎拉還在實習階段就開始參與討論惡意軟體的群組，在群組中有一位不常發言的成員名叫「法沃」（法比恩）。某天，法比恩終於加入討論，他的評論激起莎拉的興趣。她決定接觸法比恩這號人物。

莎拉和法比恩很快就發現兩人有共同興趣，漸漸地，法比恩開始依賴莎拉的建議。莎拉跟他說希望能以消滅惡意軟體為志業，法比恩便為她安排兩個在Emsisoft的實習機會。只要莎拉發現有勒索軟體開始不受控制地蔓延，就會催促法比恩集中火力處理。

法比恩和莎拉在推特上，也開始追蹤一位神祕的匈牙利研究員，對方以「惡意軟體狩獵團」（MalwareHunterTeam）稱號在網路世界行動。

丹尼爾．加拉格爾（Daniel Gallagher）在資安產業工作，他在推特上認識麥克和法比恩後，也開始協助他們。丹尼爾很罕見地獲得惡意軟體狩獵團的信任跟友誼，他表示，惡意軟體狩獵團在對「惡意軟體進行逆向工程與了解惡意軟體如何運作上，是一位非常傑出的人。他能從程式碼中找到隱蔽的細節，並且全年無休地追殺惡意軟體。」

幾年前，丹尼爾在細讀惡意軟體狩獵團的推特貼文時，發現這位朋友正面臨財務困境。他提議資助對方，但惡意軟體狩獵團一再拒絕他。後來，丹尼爾終於說服他收下一筆現金。法比恩也伸出援手，他聘請惡意軟體狩獵團在Emsisoft兼職擔任軟體分析師。

另一名來自東歐化名為「血腥多莉」（BloodDolly）的研究人員，發現特斯拉病毒在保護密鑰上的關鍵缺陷。當時，勞倫斯召集的特種部隊正在研究這款病毒。特斯拉軟體的開發人員透過常見的質數相乘方式產生對應密鑰。

但特斯拉病毒犯了一個錯，它意外用了非質數的數字產生密鑰。此外，相較於標準程序中系統會用兩個極大的質數相乘，產生受保護密鑰，有一些特斯拉病毒的受害者密鑰是以許多較小的質數產生，相比之下比較容易被破解。有鑒於此，血腥多莉能用一種稱為「數域篩選」（number sieve）的演算法縮小質數範圍，這套演算法在分解較小整數時很有效率。接著，他只要有足夠運算能力，就能找出特斯拉密碼的密鑰並解鎖被加密檔案。

血腥多莉實際上是一位名叫伊戈．卡比納（Igor Kabina）的斯洛伐克人，他在一間防毒公司擔任「偵測工程師」（detection engineer）。二○一五年五月，血腥多莉在嗶嗶電腦上貼了一個連結，公開他的「特斯拉解碼器」（TeslaDecoder），並寫道：「我希望這對某些人有幫助。」文末他還附上一個微笑的表情符號。

不過後來他發現，特斯拉密碼幕後的勒索集團也會看他張貼的對應措施，藉此改寫軟體進行除錯。從此血腥多莉不再直接貼出解鎖檔案的教學文章給受害者。但他仍會和勞倫斯的特種部隊分享更新後的解鎖工具。勞倫斯則在他的網站上將特斯拉密碼標記為可被破解的病毒，但盡可能避免描述如何破解，以免勒索集團針對弱點進行修補強化。

為每位受害者算出專屬密鑰

麥克跟血腥多莉在嗶嗶電腦上聯繫。他從這名斯洛伐克研究員身上吸收所有破解特斯拉密碼與解救受害者的知識。血腥多莉回憶當他們開始合作時，麥克「還在嘗試用暴力破解方式解決問題」，因為他使用的是比較慢的程式語言，血腥多莉向他展示如何加速他的程式碼。

麥克運用血腥多莉的工具，為塞勒姆青年學校與另一位同樣遭受特斯拉密碼攻擊的客戶取得密鑰。

當時，法比恩正在處理不同品系的勒索軟體，因此把新的特斯拉密碼受害者都轉介給麥克。受害者會提供被加密檔案，麥克則將檔案放進血腥多莉的解碼工具分析。他不分日夜趕工，很快為受害者算出專屬密鑰，並同時用到公司與家裡電腦。

有的密鑰只需要用筆記型電腦花上幾分鐘就能破解，但有的可能得花一整個禮拜，而且還要用高效能的伺服器運算。每天整支特種部隊能幫助十到十五名受害者。「你必須幫每一位受害者都運算一輪，」麥克說：「不是只要有一個主密鑰就能解開所有人的檔案。」

有的密鑰以比較長的字串組成，如果要在預計時間內算出來，就需要更多運算能力，有的甚至超出麥克手邊能用的電腦的運算極限。在機緣巧合下，北卡羅來納州的「使命健康連鎖醫療集團」（Mission Health）新買兩台高效能的伺服器。丹尼爾．加拉格爾正是這間公司的資安主管，他在首席資安技術長同意下，將這兩台伺服器用來支援特種部隊。

丹尼爾回想當時他傳訊息給其他成員，說道：「嘿，我手上有一台價值萬元的伺服器，現在剛好空著沒人用，我們來使用它吧。」

麥克把握機會，把一套腳本（script）寄給丹尼爾。「開啟這個檔案，」麥克跟丹尼爾說：「我只需要用到中央處理器的運算力。」

「這我辦得到。」丹尼爾回答。兩人開始合力設法取得密鑰。

麥克陸續救了很多特斯拉密碼的受害者，當人數超過一百人後，他已經懶得去記到底幫助多少人。勞倫斯在嗶嗶電腦網站上特別感謝「所有犧牲寶貴時間來幫助特斯拉密碼受害者的人。」並特別提到血腥多莉和狩魔335的貢獻。

有時，勞倫斯會代表受害者與特斯拉密碼背後的駭客談判。某次他告訴對方，他們搶走的是一位母親手上僅存的兒子照片，她的兒子是在戰場上陣亡的美軍，對方於是免費給勞倫斯密鑰。

二○一六年五月，血腥多莉發現特斯拉密碼在暗網上的網站似乎關閉了。眼見機不可失，他要求勒索集團釋出主密鑰，讓受害者都能取回他們的檔案。過了一天半，對方宣布他們將終止活動，並把最新的一組主密鑰提供給他。「計畫終止，」特斯拉密碼在暗網上寫道：「我們很抱歉！」

獵人聚首

當時狩獵團隊還沒正式成立，獵人們在對抗「加密鎖櫃」、「特斯拉密碼」或其他病毒時，都是透過嗶嗶電腦的私訊功能與推特聯繫。他們的對話紀錄散落在不同平台上，內容因此變得零碎沒有組織。

勞倫斯說：「到了某個階段，我心想：為什麼我們還要透過論壇上的私訊功能解決問題？」

是時候讓獵人們聚集在一起了。二○一六年五月，當特斯拉密碼的攻擊者退場時，一名來自西班牙巴塞隆納的惡意軟體分析師兼樂團鼓手馬可．里維拉．洛佩茲（Marc Rivero López），提出一個打破溝通藩籬的構想。

馬可是一位積極和善的人，過去他就曾和勞倫斯、丹尼爾、惡意軟體狩獵團和麥克合作過，會幫助他們分析新的威脅。但他一直對團隊缺乏整合這件事感到困擾。馬可說：「我看到大家都各忙各的。我心想：拜託，這樣稱不上是在一起工作，我們來創個私人社群吧。」

馬可著手建立Slack，勒索軟體狩獵團從此成軍。（本文摘錄整理自《勒索軟體狩獵團》第三章，衛城出版提供）

圖片來源_衛城出版

 書名  勒索軟體狩獵團：一群無名駭客如何拯救數位時代的資安危機？（The Ransomware Hunting Team）

芮妮．杜德利（Renee Dudley）、丹尼爾．戈爾登（Daniel Golden）／著；劉家安／譯

衛城出版

定價：550元

 作者簡介 

芮妮．杜德利（Renee Dudley）

ProPublica科技記者，曾任職於南卡羅萊納州查爾斯頓郵報、紐約彭博社與路透社。二○一一年獲選為南卡羅萊納州新聞協會年度記者，曾獲頒美國專業新聞記者協會普莉亞姆獎，並被提名入圍普立茲獎決選。二○一九年，杜德利發表一系列追蹤勒索軟體的報導，榮獲二○一九年SABEW技術報導獎，與二○二○年TRACE調查報導獎。圖片來源_Amazon

丹尼爾．戈爾登（Daniel Golden）

作家、ProPublica資深編輯與記者，曾任職於《波士頓環球報》、《華爾街日報》與紐約彭博社，獲頒普立茲獎、喬治．波克新聞獎、全國頭條新聞評論獎等大獎。圖片來源_Amazon