通过支付勒索软件取回文件

信息安全 勒索软件
2021-08-12 05:36:06

我支持/工作的一家公司遭到勒索软件的攻击。我已经走完了所有的数据恢复路径等等......并且企业已经决定支付赎金比重建和尝试恢复更便宜。

我的问题是:有没有人经历过向勒索软件公司付款的过程?一旦你付款,坏人会给你一个私钥吗?如果是,你如何使用它来解密文件?

编辑:(根据要求,因为人们要求下面的信息,并认为它可能会帮助其他一些找到这个主题的人

就类型而言,我认为它可能是 CryptoLocker 的变体。该应用程序在命中后无处可寻。我运行了 3 次不同的 AV 扫描,没有发现任何迹象。我所要做的就是这张图片:

根据所使用的 URL,我将攻击范围缩小到 Cryptowall 4.0。我将该 URL 追踪到 SNORT 的邮件列表,并看到 Cryptowall 4.0 被提及。

这是一个论坛主题,其中一些谈话与我在这里看到的感兴趣的人相匹配

Cryptolocker“赎金票据”

4个回答

首先,确定您遇到了哪种勒索软件变体。根据哪一个,您可能有更多选择。

正如@Ohnana 所说,勒索软件运营商一般都信守诺言,毕竟这符合他们的利益。如果知道某些团体从未允许解密数据,他们将停止从受害者那里获得资金。

话虽如此,我建议在您付费尝试确定您已成为受害者的变体之前,这一点很重要。有几个变体的免费可用解密工具 并且至少有一个记录的变体包含一个使解密不可能的错误。

一旦您确定了您拥有的变体,您将能够快速研究您可以预期的解密过程,以及是否可以使用免费工具而不是向勒索软件运营商付费。

作为受人尊敬的 IT 顾问,您永远不应该推荐支付勒索软件。如果它失败了,你将受到指责。如果它有效,您将不会因为推荐反对它而受到指责,因为企业知道他们在赌博,而且他们很草率地让它发生。并建议向犯罪分子支付敲诈费用会损害您的形象。我永远不会使用建议支付犯罪勒索钱的水管工或机械师,因为我认为他们与犯罪分子勾结。如果您是一名 IT 顾问,您可以访问该公司的唯一密码等,并且 - 除非他们违反了禁止在其网络上做某事的内部规则 - 您应该为这种情况的发生负部分责任。

您还应该了解其他几件事:

  1. 犯罪分子将安装一个后门,以便他们可以在未来 6 个月的某个时间再次向受害者开枪。支付勒索软件不会“恢复”设置。因为他们进来了,所以设置一开始就被水洗了。业务仍然需要完全拆除并正确重建网络,这样将来就不会再发生这种情况了。

  2. 勒索软件作者在博客上花费大量时间,并发布有关企业如何通过付费快速轻松地恢复文件的虚假故事。这并不意味着这些犯罪分子都不会在获得报酬后恢复文件。这意味着,由于无论如何他们都在使用假名,因此他们不会因不恢复文件而失去声誉,而且您不能相信这些杜撰的故事。

  3. 作为诈骗受害者的企业从不想谈论它。最近,我的一个客户通过一个简单的虚假电子邮件/电汇骗局骗取了 20,000 美元。他们求我不要在公共论坛上提及他们的名字。大约一年前,由于无视我关于网络安全的建议,同一位客户成为 Cryptolocker 攻击的受害者,他们还问我是否要付款——我告诉他们不要这样做——我从他们的备份中恢复了。他们没有付款,也没有丢失文件。他们打击了他们的员工,开始做我一直告诉他们做的事情。不幸的是,他们从未与我分享他们如何处理电汇,因此我无法将 kibosh 放在他们的处理方式上。

  4. 这个受害者是在假设这是某种商业交易的情况下进行操作的,他们实际上可以选择现在支付一点费用来取回他们的文件,或者支付更多费用来从备份中取回他们的文件。这是一种错觉,他们甚至在考虑这一点的事实表明他们已经走了多远——顺便也表明了你为他们提供建议的工作是多么糟糕。现实情况是,他们正在考虑向身份不明、绝对没有名誉损失、恢复文件的动机为零的人付款——事实上,他们有动机不恢复他们的文件,因为犯罪分子做的工作越多来提供帮助受害者被抓住的机会就越大。

罪犯不知道他们在与谁打交道——他们不知道他们是在与一家真正的企业打交道,还是与执法部门为打击他们而设立的幌子公司打交道。这里的规则是他们与受害者接触的次数越少,对他们来说就越安全。一旦他们得到钱,如果他们在“帮助”周围闲逛,那么他们被抓住的机会就更大。

对于经典的 Cryptowall,病毒本身通常会接触到 C2C 并获取私钥并开始解密过程。还有一个独立工具预加载了解密密钥,该密钥再次自动开始解密。大多数勒索软件计划将使勒索过程尽可能轻松。

FBI 注意到,这些勒索软件运营商中的许多人都是诚实的——他们希望人们付钱给他们,因此具有讽刺意味的是,他们坚持交易(?)将导致最好的结果。

另外,还有一条奇怪的建议——请参阅病毒文档。如果您不了解如何取回文件,勒索软件计划就不会成功!

然而,有一些报道称人们取回了他们的文件

  • 其他人报告说在那之后被要求第二次 - 意外 - 付款(这并不奇怪,因为这是敲诈勒索)

  • 或者只是花钱而不拿回他们的文件

甚至犯罪分子自己也无法解密它们。也许用户设法加密了两次,他们的加密器有问题,他们的“恢复”工具进一步破坏了加密文件,发送密钥到 C&C 时可能存在网络问题,他们的服务器已被占用......一些勒索软件系列提供单个文件的免费解密,以证明他们能够做到。明智地使用

另请注意,根据您所在的位置,支付赎金可能是非法的(您正在资助犯罪分子)。

我宁愿支付 AV 来恢复文件而不是犯罪分子。如果您安装了他们的品牌,它甚至可能是免费的。参见例如Dr Web's

我还发现有趣的是,企业已经决定支付赎金比重建和试图恢复更便宜即使您支付了赎金并取回了文件(至少这是可疑的),您也应该重建受感染的结构。您将如何信任他们设法感染的机器?另外,他们需要采取措施,以免再次发生。在这种情况下,他们甚至不知道他们是如何感染他们的!

令人惊讶的是,发现那些成为密码锁受害者的公司……几个月后又被重新感染,仍然没有任何恢复手段。

只是无法从影子副本中恢复文件意味着病毒设法禁用它们,这导致了一个问题:为什么您的用户以管理员身份运行?

或者没有(有效的)备份计划,这可能违反国家法规。

你不能简单地决定付出代价并将问题隐藏在地毯下如果您被勒索软件攻击,并且无法在几个小时(最多几天)内恢复并继续工作,那么您就有大问题了。因为他们发现了不好的方法。

其它你可能感兴趣的问题
上一篇站点范围 SSL (https) 的优缺点是什么? 下一篇为什么在散列密码之前将用户名添加到盐中?