我的问题是:有没有人经历过勒索软件公司的付款过程?付款后,坏人会向您发送私钥吗?如果是,您如何使用它来解密文件?
编辑:(按要求,因为人们要求以下信息,并认为这可能对某些人有所帮助)其他找到此主题的人)
就类型而言,我认为它可能是CryptoLocker的变体。该应用程序在命中后无处可寻。我进行了3次不同的AV扫描,没有发现任何迹象。我所要做的只是这张图片:
根据所使用的URL判断,我将攻击范围缩小为Cryptowall 4.0。我将该URL跟踪到SNORT的邮件列表中,并看到提到了Cryptowall 4.0。 >
#1 楼
首先,确定您遭到过勒索软件的哪个变种。取决于哪个选项,您可能会有更多选择。如果得知某些团体从未允许解密数据,他们将停止从受害者那里获得金钱。话虽如此,我建议在付费之前,请务必先确定一下,您成为哪种变体的受害者。有多种变体的免费可用解密工具,并且至少有一个记录在案的变体,其中包含一个使解密变得不可能的错误。您可以期望解密过程是这样,并且如果可以使用免费工具而不是通过支付勒索软件操作员来进行解密。
#2 楼
作为一名受人尊敬的IT顾问,您永远不建议您支付勒索软件。如果失败,您将受到责备。如果可行,您不会因推荐它而受到指责,因为该公司知道他们在赌博,而且他们放任不管。并建议向犯罪分子勒索,损害您的形象。我永远不会使用推荐付刑事勒索钱的水管工或机械师,因为我以为他们与罪犯密不可分。如果您是IT顾问,则可以访问该公司的唯一密码等,并且-除非他们违反了禁止在其网络上进行某些操作的内部规则-否则,您应该为此承担部分责任。您还应该了解其他几件事:
犯罪分子将安装后门,以便他们可以在接下来的6个月内再次枪杀受害者。付费勒索软件不会“还原”设置。设置工作一开始就因为他们进入而被迫进行。业务仍然需要完全拆除并正确地重建网络,这样以后再也不会发生这种情况。
勒索软件作者在博客上花费了大量时间以及发布关于企业如何通过付款快速轻松地恢复其文件的虚假故事。这并不意味着这些罪犯在获得付款后都不会恢复文件。这意味着,由于他们无论如何都使用假名,因此他们不因不还原文件而失去声誉,因此您无法相信这些伪造的故事。
受骗的企业永远都不想谈论它。最近,我的一个客户通过一个简单的虚假电子邮件/电汇骗局被骗了20,000美元。他们恳求我不要在公共论坛上提及他们的名字。大约一年前,那个客户是Cryptolocker攻击的受害者,由于忽略了我关于网络安全的建议,他们还问我要付款-我告诉他们不要这样做-我从备份中恢复了。他们没有付款,也没有丢失文件。他们严厉打击员工,并开始做我告诉他们一段时间的工作。不幸的是,他们从未与我分享过他们如何处理电汇,所以我无法对他们的工作方式置疑。您可以选择现在支付一点钱以恢复其文件,或者支付更高的费用以从备份中恢复其文件。这是一种幻想,事实上他们甚至在考虑这表明他们走了多远-顺便指出了您为他们提供建议的工作有多糟糕。现实情况是,他们正在考虑向身份不明的人,绝对没有声誉损失,恢复文件的动机为零的人支付薪水-实际上,有动机不恢复其文件,因为罪犯会做更多的工作来帮助他们受害者越有可能被抓住。
罪犯不知道与谁打交道-他们不知道自己是在与一家真正的公司或一家前台公司打交道。执法部门予以打击。这里的规则是,他们与受害者的交往越少,对他们来说就越安全。一旦他们在“帮助”中闲逛得到了钱,那么他们就更有机会被抓住。
评论
虽然有两种不同的可能性。 1.公司受到勒索软件攻击,然后与顾问联系。他们没有/备份不足。 2.顾问已经为他们工作了一段时间,他们遭到了攻击。在情况1中,支付赎金,恢复文件,从头开始重建服务器,实施备份计划,实施预防计划以停止再次感染。在情况2中,从备份还原,请实施预防计划。应该不需要付费,因为应该已经有备份了。如果不是,那应该是因为尽管有建议,企业还是拒绝了,而不是因为顾问没有建议。
–马修
2015年12月5日,7:32
在答案中给出真实姓名并没有任何帮助,这会让您看起来很愚蠢,尤其是在用户名相同的情况下。至于您的答案,您是在指责IT顾问,而公司本身就犯了使该勒索软件首先执行的错误。我完全不同意“必须重新构建”,因为您仍然会被感染。事实并非如此,可以对现在未加密的数据进行备份,然后执行全新安装。如果您确实要退回文件,这里除了支付赎金外别无选择。
–公鸡
15年12月6日在18:30
我同意@JameyD的意见,这个答案像垃圾邮件一样“闻”。 (我并不是直截了当地指责您是垃圾邮件发送者,只是说您的帖子措辞具有暗示性-不管是不是故意的,谁知道。)您的真实姓名已经出现在帖子底部的用户标签中,没有必要将其包含在帖子文本中,并且您的个人资料可以包含足够的信息来验证您的身份并指导您的业务的任何有关方面。
– David Z
2015年12月7日下午6:47
OP已经表示这不是他的决定。他只是询问有关过程。我不得不投票,因为就目前而言,它并没有回答问题。
–Agent_L
2015年12月7日,9:04
令我惊讶的是,该答案具有不胜枚举的效果,因为它完全忽略了回答问题的能力,并且基本上只包含了很长的无关紧要的内容,并且对OP在管理网络中的作用程度有无根据的假设。问题不在于是否建议公司付款。该公司已做出该决定。
–乔恩·本特利
2015年12月7日23:13
#3 楼
对于经典的Cryptowall,病毒本身通常会到达C2C并获取私钥并开始解密过程。还有一个独立的工具,该工具预装有解密密钥,再次自动启动解密。大多数勒索软件方案将使勒索过程尽可能轻松。FBI指出,许多勒索软件运营商是真实的-他们希望人们向他们付款,因此具有讽刺意味的是,坚持不懈地讨价还价(?)将带来最佳结果。
另外,还有另一条奇怪的建议-请参阅病毒文档。如果您不了解如何取回文件,勒索软件方案将不成功!
评论
他们也可能有帮助热线。我知道这听起来很疯狂,但我们生活在陌生的时代。完全有可能,一旦您付款了,如果您给他们打电话,他们会说服您取回文件。我不知道他们是否使用溢价率数字,但如果不使用,显然他们会丢失花样!
–马修
2015年12月4日15:21
这些家伙听起来比comcast等人更有帮助!
–戴夫
2015年12月4日在20:18
@Dave直到您意识到没有它们就不会有问题...哦,等等。
– jpmc26
2015年12月5日,下午1:57
那么,您是仅从他们的网站下载此病毒文档,还是预先安装了该文档?
–托马斯
2015年12月5日,下午2:47
通常,他们会更改您的桌面背景或将帮助文件分散在目录中。请参阅问题中的屏幕快照,以获取它们给您的“文档”和“帮助指南”的示例。
– Ohnana
2015年12月5日下午5:18
#4 楼
有报告称有人将文件取回,但是其他人报告称在此之后要求第二次意外付款(这并不算令人惊讶,因为这是勒索) br />或只是花钱而不取回他们的文件
甚至犯罪分子本身也无法解密它们。也许用户设法对自己进行两次加密,他们的加密器有问题,他们的“恢复”工具甚至进一步破坏了加密的文件,将密钥发送到C&C时可能存在网络问题,他们的服务器已被扣押。勒索软件系列提供对单个文件的免费解密,以证明它们能够解密。明智地使用
还请注意,根据您所在的位置,支付赎金可能是违法的(您是资助罪犯的人)。文件而不是罪犯。如果您安装了他们的品牌,它甚至可能是免费的。例如,请参见Web博士的
,我也发现有趣的说法是,企业已决定,支付赎金比重建和尝试恢复要便宜。即使您支付了赎金并取回了文件(至少是可疑的),也应该重建受感染的结构。您如何信任他们成功感染的机器?另外,他们需要采取措施,以免再次发生。而且在这种情况下,他们甚至都不知道自己是如何感染它们的!恢复工具。
无法从卷影副本中恢复文件意味着病毒设法禁用了它们,这导致了一个问题,为什么您的用户以管理员身份运行?
或没有(有效的)备份计划,这可能会违反国家法规。
您不能简单地决定支付费用并将问题隐藏在地毯下。如果您受到勒索软件的攻击,并且无法在几个小时(最多几天)内恢复并继续工作,那么您将遇到很大的问题。他们发现了坏方法。
评论
“我宁愿为恢复文件付费而使用AV,而不是罪犯。”我想我们都会。但是,AV通常无法做到这一点。
–桅杆
2015年12月8日,12:18
#5 楼
向该问题提供一些最新信息。国际刑警组织与荷兰警察,卡巴斯基和英特尔安全合作,提供了一个站点,勒索软件受害者可以在其中找到用于解密其绑架文件的工具,以用于免费:不再需要赎金。
这是获得恢复文件机会的最佳选择。如前所述,支付赎金并不能保证您能取回文件,同时也使您支持犯罪活动。
评论
正确的解决方案是使用备份,但是不幸的是,对于任何精心设计的勒索软件,支付是唯一的选择。骗子学会使用适当的加密货币后,免费解密器变得越来越稀缺。
–AndréBorie
17 Mar 9 '17 at 16:18
#6 楼
我想补充一点:一旦您决定付款,就不要浪费太多时间。我不建议您先不花时间就扔掉客户的钱,但是要等待一个月才能出现免费工具是一个坏计划:骗子可能会消失或被抓住,并且您的数据永远失去了。
听起来好像您所代表的企业没有钱花:这会增加要求第二笔付款的机会。而且,如果为您提供了免费的解密测试,请不要发送任何与业务相关的文件。假装您是一家小型企业或私人人士,想要找回自己的照片会更好:
图片来自本文,其中描述了其他内容,当您决定付款时会发生什么。
评论
我的理解是,坏蛋会为您提供解密工具-他们希望它不费吹灰之力且轻松易行,以便人们继续付款。与Mike所说的一样,但是在我处理过的少数勒索软件案例中,我们总是有一个备份数据选项。不必付钱。但是我会投机支付,因为如果他们拿走了我的比特币却什么也没给我。我不会为了写我的钱而忘了我,这只是代码编写者的事。我的意思是,它们并不是有人会说的合法公司:不要与“副软件中的球”进行业务
您应该为您的公司创建备份计划,以免将来发生!
您能告诉我们您正在处理哪种勒索软件变种吗?
上半年有一个很好的故事,讲述了如何支付赎金radiolab.org/story/darkode