神操作!号称专治勒索病毒的公司,其实偷偷给黑客交赎金……
(给程序员的那些事加星标)
原创:程序员的那些事(id:iProgrammer)
0、什么是勒索软件/勒索病毒?
勒索软件/勒索病毒(英文名 Ransomware)是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。
这种病毒利用各种加密算法对文件进行加密,被感染的电脑一般无法解密,必须拿到解密的私钥才有可能破解。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
2017 年 5 月 13 日,英国、意大利、俄罗斯等多个国家爆发 WannaCry 勒索病毒攻击,中国国内校园网也出现大面积感染。
中毒后的电脑,会有这样的勒索信:
WannaCry 勒索病毒,详情见 2017 年的旧文:《全球爆发计算机勒索病毒》和 《意外阻止了勒索病毒的全球攻击,我是如何做到的》。
1、号称专治勒索病毒的公司,
其实暗地里给黑客交赎金
2019 年 5 月 15 日,外媒 ProPublica 披露了两家号称提供勒索病毒解决方案的🇺🇸数据恢复公司,其实是在欺骗/忽悠勒索病毒的受害者。
(英国知名媒体《卫报》也曾发过该报道)
这两公司分别是 Proven Data 和 MonsterCloud。它们所谓的解决方案,其实就是向攻击者支付赎金,然后向受害者收取更多的费用。
6 月 27 日,反病毒软件供应商 EmiSoft 在官博发文,揭露了另外一家在做同样勾当的英国公司 —— Red Mosquito(红蚊)数据恢复公司。
EmiSoft 的主管 Fabian Wosar 设了一个圈套,发现了红蚊的解决方案,其实和前面 2 个美国公司一样一样的。
红蚊官网自称一站式数据恢复和咨询服务,在过去一年处理了全球数百起勒索软件案件。它最近还在发布广告称,其“国际服务”提供“诚实、免费建议的专家”。
红蚊公司表示,它提供了支付赎金的“专业替代方案”,但还警告称,“支付赎金可能是让文件解密的唯一可行选择。” 它补充说,“不建议直接与罪犯谈判,因为这会进一步危害安全。”
(啧啧啧,红蚊的文字游戏玩的飞起!不让勒索病毒的受害者去联系攻击者,原来是自己去联系交赎金,然后赚差价。)
2、Fabian Wosar 是怎么样设套的?
Wosar 做了一个假的勒索软件,命名为“GOTCHA”。他还起草了一封勒索信,上面写满了诸如“马上”之类的拼写错误,以确保真实性,因为许多攻击者不是以英语为母语的人。
和许多真实的勒索软件一样,Wosar 做的假勒索软件也包含一个独特的 ID 序列,并指示受害者在回复中使用。有了 ID 序列,就可以知道哪个受害者在付钱。
Wosar 一边扮演了发动攻击的黑客,一边扮演了勒索软件的受害者。
他用 Joe Mess 化名,假扮是受害者,向联系红蚊求助邮件。
没多久,有个化名 Conor Lairg 的人用红蚊公司的邮箱,回复 Joe Mess,表示「我非常有信心,我们可以帮你找回文件。我们正在测试,会尽快和你联系的。」
随后,Wosar 另外假扮攻击者的邮箱,收到了一封包含受害者专属的 ID 序列。这就说明,发邮件的人,不是红蚊公司的人,就是红蚊员工把 ID 共享了。
红蚊把赎金砍到了 900 美元,但向 Joe Mess 收取的费用却是 3950 美元。也就是说,红蚊向客户收取的费用,至少是实际赎金的 4 倍。
在被曝光之后,红蚊从官网上删除了部分声明,包括将“诚实免费的建议”改为“免费的建议”。
Wosar 表示,「勒索软件受害者需要知道,要恢复他们的数据,没有什么灵丹妙药。对于一家数据恢复公司来说,只要他们公开透明,支付赎金也没有什么丢人的。」
3、如何预防勒索病毒?
简单来说:
重要文档,定期备份;
对来路不明的电子邮件、网站和应用保持警惕;
使用防病毒程序;
不断更新软件补丁;
永不支付赎金;
详细解释,请参考之前的推文《全球爆发计算机勒索病毒(包含应急防范措施)》。
往期热文(点击图片即可阅读)
关注「程序员的那些事」加星标,不错过圈内事
圈内事,我在看❤️