Qualcuno ha decifrato correttamente i propri file dopo aver pagato il riscatto di WannaCrypt?

15

WannaCrypt è uno sparo sentito in tutto il mondo, di sicuro.

Ho visto articoli di notizie che dicono che le persone hanno pagato più di $ 20.000 in riscatti. Eccone uno da Krebs: Globali "Wana" Ransomware Outbreak: autori di perpetratori $ 26.000 finora

Ma la mia domanda è: qualcuno ha decrittografato con successo i propri file dopo aver pagato?

    
posta SDsolar 17.05.2017 - 17:25
fonte

4 risposte

17

, alcuni hanno apparentemente ottenuto la decrittografia dei file dopo aver pagato il riscatto.

We have confirmation that some of the 200+ #WannaCry victims who have paid the ransom have gotten their files back. Still, not recommended.

(tweettato da Mikko Hypponen, CRO di F-Secure, il 15 maggio 2017)

Ma non c'è assolutamente alcuna garanzia di far decifrare i tuoi dopo il pagamento e le probabilità sembrano essere piuttosto basse, soprattutto perché non è un processo automatico ma richiede l'interazione con un operatore umano. I ricercatori di sicurezza strongmente raccomandano di non pagare il riscatto .

    
risposta data 17.05.2017 - 18:36
fonte
2

Per essere onesti, il pagamento del riscatto è un tipico dilemma del prigioniero. Se nessuno decifra il file (alcune aziende avranno una valutazione della sicurezza e una politica di condivisione delle informazioni con l'autorizzazione), distruggerà la reputazione degli attaccanti dei ransomware, distruggendo così la "prospettiva" futura. Tuttavia, ci sono possibilità che l'utente malintenzionato di ransomwware crei errori.

Il problema si trova nella chiave di crittografia. Per massimizzare il profitto del riscatto, generare una nuova chiave crittografica ogni PC è la strada da percorrere. Tuttavia, introdurrà anche il rischio che la chiave crittografica manchi nella transizione al server C & C (comando e controllo) dei cattivi.

Quindi avere una chiave di crittografia pre-generata garantirà una decifratura, ma significa anche che chi paga può "riutilizzare" la chiave di decrittografia in molti PC.

(aggiornamento): Come suggerito da @Josef, l'autore dell'attacco può utilizzare una chiave asimmetrica per crittografare la chiave univoca adhoc. Cioè Il codice di ransomeware utilizza una chiave pubblica per crittografare la chiave crittografica adhoc. Ciò significa che il malware deve inviare questo primo livello di crittografia dei dati al server C & C. Ma c'è un problema per questo meccanismo: se l'autorità blocca l'IP del C & C, "danneggerà" il sindacato "performance di vendita" (sarcasmo).

    
risposta data 18.05.2017 - 10:56
fonte
2

Sì, alcune vittime hanno ricevuto la chiave di decrittazione dopo aver pagato il riscatto. Tuttavia, a causa delle dimensioni dell'infezione e del modo in cui il ransomware è codificato, è probabile che i criminali non saranno in grado di soddisfare le richieste di decifrazione:

Those meager profits may partly stem from WannaCry barely fulfilling its basic ransom functions, says Matthew Hickey, a researcher at London-based security firm Hacker House. Over the weekend, Hickey dug into WannaCry’s code and found that the malware doesn’t automatically verify that a particular victim has paid the demanded $300 bitcoin ransom by assigning them a unique bitcoin address. Instead, it provides only one of four hardcoded bitcoin addresses, meaning incoming payments don’t have identifying details that could help automate the decryption process. Instead, the criminals themselves have had to figure out which computer to decrypt as ransoms come in, an untenable arrangement given the hundreds of thousands of infected devices. “It really is a manual process at the other end, and someone has to acknowledge and send the key,” says Hickey.

Hickey warns that the setup will inevitably lead to the criminals failing to decrypt computers even after payment. He says he’s already been monitoring one victim who paid more than 12 hours ago and has yet to receive a decryption key. “They’re not really prepared to deal with an outbreak of this scale,” Hickey says.

( Fonte qui . Enfasi per il mio.)

Nota che se il tuo computer infetto esegue Windows XP, potresti essere in grado di recuperare i tuoi file gratuitamente. C'è un modo per recuperare la chiave di decrittazione dalla RAM , quindi, se non hai spento la macchina dopo l'infezione, potresti riuscire a recuperare i tuoi dati senza pagare alcun riscatto.
EDIT: buone notizie, questo metodo funziona anche per tutte le versioni di Windows da XP a 7 .

    
risposta data 19.05.2017 - 09:48
fonte
0

Non è nota alcuna decodifica di successo e anche Non il modo in cui il pagamento del riscatto è collegato al PC infetto. Ma guarda il numero di riscatti pagati: circa 269 casi noti (attraverso la visione dei portafogli bitcoin, vedi link ) contro le infezioni conosciute (220.000 ).

    
risposta data 17.05.2017 - 17:51
fonte

Leggi altre domande sui tag