我收到了以下电子邮件,该电子邮件是通过我的个人域(在VPS上运行自己的邮件服务器)上的个人地址的电子邮件地址发给我的:


将这封邮件转发给所有人在您的公司中可以做出决定


我们是Armada Collective。 lmgtfy URL here

如果您不支付保护费,您的网络将在2016年5月8日12:00 UTC开始进行DDoS编辑-10比特币@ some-bitcoin-address

如果您没有在2016年5月8日12:00 UTC之前付款,攻击将开始,您的
服务永久下降,价格停止将增加到20 BTC
,每天将上升10 BTC攻击。

这不是在开玩笑。

我们的攻击非常强大-有时每秒超过1 Tbps。
我们通过CloudFlare和其他远程保护!因此,便宜的保护措施无济于事。

仅用10个BTC @ some-bitcoin-address即可防止一切

不要回复,我们不会阅读。支付,我们将了解您。而且您
永远不会再听到我们的消息了!

比特币是匿名的,没人会知道您的合作。


显然,我不是要支付赎金。我还应该做其他事情吗?

更新:

我将电子邮件和原始标头转发给了原始ISP。他们回答说“已经采取了措施”。那么,嗯?我猜是吗?

评论

我特别听说过这个团体。他们从来没有真正服从任何人。

@CodyP 1Tbps已经很多了,那么每秒1Tbps是多少?

@HagenvonEitzen不仅攻击快速,而且还在加速

也许它们的意思是每秒1汤匙(汤匙)。

我的几个客户都收到了相同的威胁,没有发现DDoS。底线:不付款,请与当地执法机构联系(至少在大多数国家,敲诈勒索是刑事犯罪),并确保您已准备好应对攻击的程序(无论如何都应这样做)。

#1 楼

根据以下文章,您可能只想忽略它。这似乎是一种常见的骗局,您的电子邮件看上去几乎与以下文章中的电子邮件类似。

http://arstechnica.com/security/2016/04/businesses-pay-100000 -to-ddos-extortionists-who-never-ddos-anyone /

查找发送电子邮件的服务提供商的源ISP,并联系其滥用小组abuse@company.com。他们可能会禁用电子邮件的来源或警告可能拥有该机器的毫无戒心的客户。通知源ISP有助于减少这种情况。确保向他们发送带有完整标题的电子邮件。如果来源似乎是一家大公司的受感染系统,除了ISP之外,我还会通知他们。为此,请同时对公司和ISP进行CC'ing,以获得最快的结果。请记住,某些恶意系统可能也冒充了受感染的主机,即使它不是这样,通知ISP实际上比通知系统所有者更重要。

评论


看起来他们是通过openmailbox.org从yourserver.se发送的。我想我应该联系yourserver.se。

– alexw
16年5月5日,0:26

我喜欢他们说他们知道是您付钱的那部分,但是接着说比特币是匿名的,没有人会知道您与您合作。有点矛盾。 “付款,我们将知道它是您,[...]比特币是匿名的,没有人会知道您合作。”

–高清
16年5月9日在10:46



@高清。不一定,如果他们为每个受害者创建了一个比特币地址,他们就可以确定哪个受害者向他们汇款。而其他人却不能,因为他们不知道受害者被告知要汇款到哪个比特币地址

– Elva
16年5月9日15:57

#2 楼

本文可能对您很重要:https://ca.news.yahoo.com/armada-collective-ddos-threats-were-212413418.html

有人正在复制Armada Collective的电子邮件内容吓people人们付钱,但没有任何袭击记录在案。

因此,可能不必执行任何操作。

评论


相同的故事基础,不同的资源theregister.co.uk/2016/05/04/empty_ddos_threats_reloaded对于那些想要多个资源的人

–gabe3886
16年5月5日在12:24

有关Cloudflare博客的更多信息,请访问:blog.cloudflare.com/…

– JonasCz-恢复莫妮卡
16年5月5日15:56

至关重要的方面:勒索电子邮件重复使用了比特币地址,Armada Collective无法分辨谁已经付款,谁没有付款(来自CloudFare博客)。这提供了一个充分的条件来知道电子邮件是伪造的-如果重复使用类似电子邮件中使用的已知比特币地址,则绝大多数情况下是伪造的。

– E.P.
16年5月5日在17:03



#3 楼

忽略它。

Cloudflare自己说这些都是假的-请参阅https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/我强烈建议您阅读本文,因为这是从前线很清楚的解释。
舰队的集体是一个真正的DDOS团体,但是一些骗子只是用他们的名字来吓people人。显然,他们所有电子邮件中的比特币地址都相同,这意味着他们将永远不知道是谁付款了。
可以跟踪支付给比特币地址的金额,看来他们已经从中赚取了超过10万美元这个骗局!

最重要的是,在付款之前,应通过证据(可能是15分钟的DDOS)来备份DDOS威胁。

编辑:只是为了澄清一下我还不够清楚的评论。
我不是要给出是否应该付款的意见。始终具有良好的安全性,并且如果威胁导致您决定花钱(通过支付需求或购买您本来不需要的DDOS保护),则首先要求提供比可能更多的证据,以确保威胁是合法的只是一个空洞的威胁。

评论


imgur.com/iLUE7BU

– alexw
16年5月5日15:43

快速的互联网搜索至少会提取出几个已经使用过的比特币地址,因此它们要么流行起来,要么有多个小组这样做,要么CloudFlare的样本量不够大。

–亚历山大·奥玛拉(Alexander O'Mara)
16年5月5日在21:07

如果某个地址被多次使用,他们将无法确定谁通过该地址向他们付款。

–大卫·格里克曼(David Glickman)
16年5月5日在22:08

@Erik,我将最后一句话解释为建议攻击者通过实际执行15分钟的DDOS来证明自己的能力,然后再期望付款。有点奇怪的陈述要包含在此站点上,但备用版本是有意义的:“具有良好的安全性。除非有确凿的证据证明,否则忽略任何DDOS威胁/勒索赎金的要求。然后,处理DDOS的漏洞(和然后继续忽略威胁)。”

–通配符
16年5月6日,下午3:05

并不是说您应该或不应该付款。支付DDOS或勒索软件需求是一个意见问题,我们可以详细讨论。在美国,有一些备受瞩目的案件,医院已经为勒索软件付款。除了某些人可能实际要付款的附带条件外,我已经阐明了对通配符正确解释的回答。尽管我认为“合法的”攻击者可能会对这些家伙感到非常恼火,但我不会向DDOS攻击者提供建议。

–大卫·格里克曼(David Glickman)
16年5月6日在8:50

#4 楼

如果您在英国,请执行以下操作:


发送的消息
Action Fraud(国家行动局局长,Action Fraud,管理员)

在过去的24小时内,英国自称“蜥蜴小队”的组织已收到勒索要求。

攻击方法:
该小组已发送电子邮件,要求支付5比特币,并在一定的时间和日期付款。电子邮件指出,这种需求将在每天无偿支付的情况下增加5个比特币。

如果不能满足他们的要求,他们威胁要对企业的网站和网络发起拒绝服务攻击,使他们脱机直至付款。

需求表明,一旦他们的行动开始,就无法撤消。

如果您收到以下其中一项请求该怎么办:


通过致电0300 123 2040或使用
在线报告工具将其报告给Action Fraud。
不支付需求
保留原始电子邮件(带有标题)
/>维护攻击的时间表,记录所有时间,联系人的类型和内容

如果您现在正在体验DDoS,则应:


立即致电0300 123 2040将其报告给行动欺诈。
致电您的Internet服务提供商(ISP)(如果您不托管自己的Web服务器,则致电托管服务提供商),告诉他们您受到攻击并寻求帮助。
保留事件时间表,并保存服务器日志,Web日志,电子邮件日志,任何数据包捕获,网络图,报告等。

获取“安全在线”最重要的提示,以保护您的企业免受DDoS攻击:


考虑组织遭受DDoS攻击的可能性和风险,并采取适当的威胁减少/缓解措施。
如果您认为需要保护,请讲话交给DDoS预防专家。
无论是否有遭受DDoS攻击的风险,都应该拥有托管工具来处理大量意外的网站点击。


评论


蜥蜴小队在去年的PSN攻击后被解散,这些威胁被证明是假的ibtimes.co.uk/…

–詹姆斯·柯比(James Kirkby)
16年5月5日在10:46



谢谢,我在美国,但是我相信这对其他人有用。

– alexw
16年5月5日16:00

@JamesKirkby是的,但是对于下一批仍准备购买购买的机器人网络的********来说,它还是有用的信息。

– gbjbaanb
16年5月5日在16:06

#5 楼


付款,我们就会知道它的存在。


这就是事实:一种空洞的威胁看上去就像您所经历的一样,总是有相同的比特币地址。换句话说:如果您付款,他们就不知道是您,因此威胁一定是虚张声势。尽管如此,据报道仍有数十万美元被该地址接收的人发送到该地址。

要查明它是否虚张声势,请在Google比特币地址上进行搜索。我想您很快就能找到他们是否给您发送了一个独特的邮件,在这种情况下您是否有理由担心。

史蒂夫·吉布森(Steve Gibson)在《安全》的第557集中谈到了这一点。现在播客(成绩单在这里)。我的钱是虚张声势,因为您的文字似乎跟Steve Gibson所说的一样,是一个字接一个字。

评论


我只在另一个网站上找到了他们发送的比特币地址。但是,谁知道有多少其他人收到过该地址。目前看来没有人向该地址付款。

– alexw
16年5月6日在18:43

@alexw我想说即使发现也足以得出结论是虚张声势。他们只会告诉您,如果他们发送给您,并且只有您,给您唯一的地址,那么您就是付款人。

–佩平·施密兹(Pepijn Schmitz)
16年5月6日19:40

#6 楼

这封威胁性电子邮件似乎仅是一种威胁。

您不必容忍它,无论他们做什么,这都是勒索。

将其报告给:通过向您的托管公司发送威胁电子邮件的原始副本(所有标头都保留原始格式,作为附件在任何专业的电子邮件客户端中传输),可以将其发送给您的托管公司,
您的国家安全机构或IT专门警察部门提供威胁电子邮件的原始副本。


[...]谁容忍或鼓励邪恶
比那些究竟是谁犯了。
爱因斯坦


#7 楼

出于其他答案中给出的所有原因,这似乎是虚张声势。

如果他们打算以绝对的带宽向您发送DDoS,那么他们不仅仅是在向您发送DDoS,还可能是在攻击网络连接。您的VPS。

因此,即使这种攻击似乎不太可能,也最好通知您的VPS供应商该威胁已经发生。他们可能会告诉您忽略它(以及未来的威胁),但是由于一旦发生就会影响到他们,那么有礼貌的事情就是让他们知道并了解他们的政策。他们可能以前曾遇到过这样的威胁,如果有的话,他们比您决定是否以及何时介入执法更有经验。

当然,这在一定程度上取决于您的VPS供应商:如果您发生要知道他们的客户服务没有响应或不称职,那么您在这个方向上无能为力。

#8 楼

什么也不做,可能是无论如何都会向您发送该电子邮件的漫游器。他们不知道您的IP地址,也不会知道您是否也未答复。即使他们这样做,您也可能会注意到您的连接开始落后。在这种情况下,只需通知您的ISP并请求一个新的IP地址即可解决问题。