Recupero dei file pagando Ransomware

80

Una società che supporto / lavoro è stata colpita con ransomware. Sono andato giù tutti i percorsi di recupero dei dati, ecc ... e l'azienda ha deciso che pagare il riscatto costa meno, quindi ricostruire e cercare di recuperare.

La mia domanda è: qualcuno ha passato il processo di pagamento di una società di ransomware? Una volta pagato, i cattivi ti inviano una chiave privata e, in caso affermativo, come la usi per decodificare i file?

EDIT: ( su richiesta perché le persone hanno richiesto le informazioni di seguito e hanno immaginato che potrebbe aiutare alcuni altri a trovare questo argomento )

Per quanto riguarda il tipo, penso che potrebbe essere una variante di CryptoLocker. L'applicazione non si trovava da nessuna parte dopo il successo. Ho eseguito 3 diverse scansioni AV e non ho trovato segni di nulla. Tutto quello che dovevo andare era questa immagine:

Ho ristretto l'attacco a quello di Cryptowall 4.0 a giudicare dall'URL utilizzato. Ho tracciato quell'URL in una mailing list per SNORT e ho visto Cryptowall 4.0 menzionato.

Ecco un argomento del forum con alcuni discorsi che corrispondono a quello che sto vedendo qui per gli interessati

Cryptolocker

    
posta Jason 04.12.2015 - 15:31
fonte

6 risposte

78

In primo luogo, determina quale variante del ransomeware sei stato colpito. A seconda di quale, potresti avere più opzioni.

Come @Ohnana ha detto che in genere gli operatori di ransomware sono fedeli alla loro parola, dopotutto è nel loro interesse. Se venisse a sapere che alcuni gruppi non hanno mai permesso che i dati venissero decodificati, avrebbero smesso di ricevere denaro dalle loro vittime.

Detto questo, suggerirei che è importante prima di pagare per cercare di stabilire quale variante di cui sei diventato vittima. Esistono strumenti di decrittografia disponibili gratuitamente per diverse varianti , e c'è almeno una variante documentata che contiene un bug che rende decrittografia impossibile .

Una volta stabilita la variante che hai, sarai in grado di cercare rapidamente cosa aspettarti dal processo di decrittografia e se puoi farlo utilizzando uno strumento gratuito invece di pagare l'operatore di ransomware.

    
risposta data 04.12.2015 - 17:14
fonte
60

Come consulente IT rispettabile, non dovresti mai raccomandare di pagare il ransomware. Se fallisce, verrai accusato. Se funziona, non verrai accusato di averlo raccomandato perché l'azienda sa di giocare d'azzardo e sono stati sciatti per averlo permesso. E raccomandare di pagare il ricatto a un criminale appanna la tua immagine. Non userei mai un idraulico o un meccanico che raccomandasse di pagare un denaro di ricatto criminale come supponevo che fossero in combutta con i criminali. Se sei un consulente IT, hai accesso alle password uniche di questa azienda e simili, e - a meno che non violino una regola interna per non fare qualcosa sulla loro rete - TU sei in parte responsabile di questo evento.

Ci sono molte altre cose che dovresti sapere anche su questo:

  1. I criminali installeranno una porta sul retro in modo che possano sparare alla vittima prima o poi nei prossimi 6 mesi. Pagare il ransomware non "ripristina" l'installazione. Il setup è stato difficile da iniziare perché sono entrati. L'azienda deve ancora demolire completamente e ricostruire correttamente la rete, in modo che questo non accada di nuovo in futuro.

  2. Gli autori di ransomware passano molto tempo sui blog e pubblicano finte storie su come le aziende hanno ripristinato i loro file in modo rapido e semplice pagando. Ciò non significa che nessuno di questi criminali possa mai ripristinare i file dopo essere stato pagato. Significa che dal momento che usano tutti nomi falsi comunque non hanno reputazione da perdere NON ripristinando i file e non ti puoi fidare di queste storie apocrife.

  3. Le aziende vittime di truffe non vogliono MAI parlarne. Recentemente un mio cliente è stato truffato tramite una semplice e-mail falsa / bonifico bancario truffa di $ 20.000. Mi hanno pregato di non menzionare il loro nome nei forum pubblici. Quello stesso cliente è stato vittima di un attacco di Cryptolocker circa un anno fa a causa di ignorare il mio consiglio sulla sicurezza della rete, e mi ha anche chiesto di pagare - ho detto loro di NON farlo - e ho ripristinato dai loro backup. Non hanno pagato e non hanno perso i file. E hanno fatto crollare i loro impiegati e hanno iniziato a fare le cose che stavo dicendo loro di fare da tempo. Sfortunatamente non hanno mai condiviso con me come stavano gestendo i bonifici, quindi non potevo mettere il kibosh su come lo stavano facendo.

  4. Questa vittima sta operando supponendo che si tratti di una sorta di affare commerciale, che in realtà ha una scelta tra pagare un po 'ora per riavere i propri file o pagare di più per ottenere i loro file tornano dal backup. Questa è un'illusione e il fatto che stiano persino pensando a questo dimostra quanto siano lontani - e mostra incidentalmente come poveri un lavoro che stai facendo consigliando loro. La realtà qui è che stanno pensando di pagare qualcuno che non è identificato, non ha assolutamente alcuna reputazione da perdere, non ha incentivi per ripristinare i propri file e, in effetti, ha un incentivo a NON ripristinare i propri file perché più il criminale fa per aiutare la vittima ha più possibilità di essere catturata.

Il criminale non sa con chi ha a che fare - non sa se ha a che fare con un vero affare o una società di facciata creata dalle forze dell'ordine per farli fuori. La regola qui è che meno si impegnano con la vittima più è sicuro per loro. Una volta ottenuto il denaro se si aggira "aiutando", allora è più probabile che vengano catturati.

    
risposta data 05.12.2015 - 06:29
fonte
38

Per il classico Cryptowall, il virus stesso di solito raggiunge il C2C e acquisisce la chiave privata e inizia il processo di decrittografia. C'è anche uno strumento standalone che è precaricato con una chiave di decrittazione che, di nuovo, inizia automaticamente a decodificare. La maggior parte dei programmi di ransomware renderà il processo di riscatto il più semplice possibile.

Il l'FBI ha notato che molti di questi gli operatori di ransomware sono veritieri - vogliono che le persone li paghino, quindi in modo abbastanza ironico che sostengono la loro parte del patto (?) si tradurrà nel miglior risultato.

Inoltre, un altro consiglio strano: fare riferimento alla documentazione sui virus. Uno schema ransomware non ha successo se non capisci come recuperare i tuoi file!

    
risposta data 04.12.2015 - 15:46
fonte
19

Ci sono alcuni rapporti di persone che recuperano i loro file, tuttavia

  • altre persone hanno riferito di aver chiesto un secondo pagamento inaspettato dopo (non è sorprendente, dato che questa è un'estorsione)

  • o semplicemente spendendo i soldi e non recuperando i loro file

È persino possibile che i criminali stessi non siano in grado di decrittografarli. Forse l'utente è riuscito a crittografare se stesso due volte, il loro crittografo è bacato, il loro strumento di "recupero" corrompe ulteriormente il file crittografato, potrebbe essersi verificato un problema di rete quando si inviava la chiave al C & C, il loro server è stato sequestrato .. Alcune famiglie di ransomware forniscono la decrittografia gratuita di un singolo file per dimostrare che sono in grado di farlo. Usa saggiamente

Nota inoltre che a seconda della tua posizione, potrebbe essere illegale pagare il riscatto (stai finanziando criminali).

Preferirei pagare un AV per recuperare i file piuttosto che i criminali. Potrebbe anche essere gratuito se il tuo marchio fosse installato. Vedi ad esempio Dr Web

Trovo anche interessante l'affermazione secondo cui l'azienda ha deciso che pagare il riscatto costa meno, quindi ricostruire e cercare di recuperare . Anche se paghi il riscatto e recuperi i tuoi file (che è dubbio dubbio), dovresti ricostruire la struttura infetta. Come hai intenzione di fidarti della macchina che sono riusciti a infettare? Inoltre, hanno bisogno di prendere misure in modo che non accada di nuovo. E in questo caso non sanno nemmeno come li hanno infettati!

È sorprendente scoprire aziende che sono state vittime di cryptolockers ... solo per essere reinfettate qualche mese dopo, e che non hanno ancora mezzi di recupero.

Non essere in grado di recuperare i file dalle copie shadow significa che il virus è riuscito a disabilitarli, il che porta alla domanda Perché i tuoi utenti erano in esecuzione come amministratore?

O non avendo un piano di backup (funzionante), che potrebbe violare le normative nazionali.

Non puoi semplicemente decidere di pagare e nascondere i problemi sotto il tappeto . Se sei stato colpito da un ransomware e non sei in grado di recuperare e continuare a lavorare nel giro di poche ore (pochi giorni al massimo), hai un grosso problema. Come hanno scoperto la cattiva via.

    
risposta data 05.12.2015 - 21:28
fonte
3

Fornire questa domanda con alcune informazioni aggiornate.

Interpol ha collaborato con la polizia olandese, Kaspersky e Intel Security per fornire un sito in cui le vittime del ransomware possono trovare strumenti per decodificare i loro file rapiti gratuitamente: Non più riscatto .

Questa è l'opzione migliore per avere la possibilità di recuperare i tuoi file; come già detto, il pagamento del riscatto non ti garantisce di recuperare i tuoi file e allo stesso tempo ti aiuta a sostenere attività criminali.

    
risposta data 09.03.2017 - 16:38
fonte
2

Un paio di punti che vorrei aggiungere:

  • Una volta che hai deciso di pagare, non perdere troppo tempo. Non ti sto consigliando di buttare via i soldi del tuo cliente senza prima darlo per precauzione, ma aspettare un altro mese per far apparire uno strumento gratuito è un cattivo piano: è probabile che i criminali spariscano o vengano scoperti, e i tuoi dati potrebbero essere perso per sempre.
  • Non sembra che rappresenti un'azienda che ha soldi da spendere: aumenterà le probabilità che venga richiesto un secondo pagamento. E se ti viene offerto un test di decodifica gratuito, non inviare file commerciali. Fingendo che tu sia una piccola impresa o una persona privata che cerca di riavere le tue foto funziona molto meglio:

L'immagineètrattada questo articolo che descrive, tra le altre cose, cosa succede quando decidi di pagare.

    
risposta data 04.04.2017 - 18:42
fonte

Leggi altre domande sui tag