私がサポートしている、または仕事をしている会社がランサムウェアに襲われました。私はすべてのデータ復旧パスなどを行ってきました...そして、身代金を支払うことは再構築して回復しようとするよりも安いとビジネスは決定しました。
私の質問は、ランサムウェア会社に支払いをするプロセスを経験した人はいますか?支払いが済んだら、悪意のある人から秘密鍵が送られてきますか?そうであれば、それを使用してファイルを復号化するにはどうすればよいですか?
編集:(リクエストにより、人々は以下の情報を要求し、それがこのトピックを見つける他の人を助けるかもしれないと考えました)
タイプに関しては、CryptoLockerのバリアントかもしれません。ヒット後、アプリケーションは見つかりませんでした。 3つの異なるAVスキャンを実行しましたが、何の兆候も見つかりませんでした。私が続けなければならなかったすべてはこのイメージでした:
使用しているURLからCryptowall 4.0の攻撃に絞り込みました。そのURLをSNORTのメーリングリストまでたどったところ、Cryptowall 4.0が言及されていました。
これは フォーラムトピック で、興味のある人のためにここで私が見ているものと一致するいくつかの話があります
まず、攻撃されたランサムウェアの亜種を特定します。どちらを選択するかによって、オプションが増える場合があります。
@Ohnanaは、一般的にランサムウェアのオペレーターはWordに忠実であると述べているので、結局のところ、それは彼らの利益になっています。特定のグループがデータの復号化を決して許可しないことがわかった場合、被害者からの金銭の受け取りを停止します。
そうは言っても、あなたが支払う前に、どのバリアントが犠牲になったかを試し、確立することが重要であることを提案します。自由に利用できる解読ツール forseveralvariants があり、少なくとも1つ 復号化を不可能にするバグ を含む文書化されたバリアント。
どのバリアントを確立したら、ランサムウェアのオペレーターに支払うのではなく、無料のツールを使用して解読プロセスを実行できるかどうかをすばやく調査できます。
立派なITコンサルタントとして、ランサムウェアの支払いを勧めるべきではありません。それが失敗した場合、あなたは非難されるでしょう。それが機能する場合、ビジネスは彼らがギャンブルしていることを知っていて、彼らがそれを起こさせたためにずさんであったので、あなたはそれに対して推薦することについて非難されません。そして、犯罪者に恐喝を支払うことを勧めると、あなたのイメージが損なわれます。私は彼らが犯罪者との付き添いの中にいると思うので、私は犯罪者の恐喝金を支払うことを勧める配管工または整備士を決して使用しません。 ITコンサルタントであれば、この会社の一意のパスワードなどにアクセスできます。また、ネットワーク上で何かを行うことに対する内部ルールに違反していない限り、この問題の責任は一部にあります。
これについても、他に知っておくべきことがいくつかあります。
犯罪者はバックドアを設置して、次の6か月の間に被害者を再び銃撃できるようにします。ランサムウェアを支払っても、セットアップは「復元」されません。彼らが入ったので、セットアップは最初からホースで接続されていました。ビジネスはまだ完全に解体してネットワークを適切に再構築する必要があるため、これは今後再び発生しません。
ランサムウェアの作成者は、ブログや、企業が支払いによって迅速かつ簡単にファイルを復元した方法についての偽の記事の投稿に多くの時間を費やしています。これは、これらの犯罪者のいずれも、支払いを受けた後にファイルを復元することを意味しません。つまり、彼らはとにかく偽の名前を使用しているため、ファイルを復元しないことで失うという評判はなく、これらの外典的な話を信頼することはできません。
詐欺の被害者である企業は、それについて決して話したくない。最近、私の顧客は、単純な偽の電子メール/電信送金詐欺で20,000ドルを詐欺されました。彼らは私にパブリックフォーラムで彼らの名前を言わないように頼みました。その同じ顧客は、ネットワークセキュリティに関する私のアドバイスを無視したため、約1年前にCryptolocker攻撃の犠牲者であり、支払いについても尋ねられました-私はそれをしないと彼らに言った-そして私はバックアップから復元した。彼らは支払いをせず、ファイルを失うこともありませんでした。そして、彼らは従業員を取り締まり、私が彼らにしばらくの間するように言っていた事柄を始めました。残念ながら、彼らは電信送金の処理方法を私と決して共有しなかったので、キボッシュにそれをどのように行っているのかを説明できませんでした。
この被害者は、これが何らかのビジネス上の取引であり、実際にファイルを取り戻すために少し支払うことを選択するという仮定の下で動作していますまたは、バックアップからファイルを取り戻すために追加料金を支払う。それは幻想であり、彼らがこれを熟慮しているという事実は、彼らがどれだけ遠くに行ったかを示し、そして偶然にもpoorあなたが彼らに助言してきた仕事を示しています。ここでの現実は、彼らが正体不明で、失う評判がまったくなく、ファイルを復元するインセンティブがまったくない誰かに支払うことを考えていることです-そして実際には、犯罪者がより多くの仕事をするので、ファイルを復元しないインセンティブがあります被害者は捕まる可能性が高くなります。
犯罪者は彼らが誰と関係しているのか知りません-彼らは彼らをバストアップするために法執行機関によって設立された実際のビジネスかフロント会社と関係しているのか知りません。ここでのルールは、被害者との関わりが少ないほど安全です。彼らが「助け」の周りをぶらぶらしてお金を手に入れたら、彼らが捕まる可能性が高くなります。
従来のCryptowallの場合、ウイルス自体は通常C2Cに到達し、秘密鍵を取得して復号化プロセスを開始します。自動的に復号化を開始する復号化キーがプリロードされたスタンドアロンツールもあります。ほとんどのランサムウェアスキームは、ランサムプロセスを可能な限り簡単にします。
FBIが注記 これらのランサムウェアオペレーターの多くは誠実であること-彼らは人々に支払いを求めているので、皮肉にも十分に取引(?).
また、別の奇妙なアドバイス-ウイルスのドキュメントを参照してください。ファイルを元に戻す方法がわからなければ、ランサムウェアスキームは成功しません。
人々が彼らのファイルを取り戻すといういくつかの報告があります、しかし
他の人々はその後2回目の予期しない支払いを要求されたと報告しました(これは恐喝であることを考えると、それほど驚くべきことではありません)
または単にお金を使い、ファイルを取り戻さない
犯罪者自身がそれらを解読できない可能性さえあります。おそらく、ユーザーは自分自身を2度暗号化し、暗号化機能はバグがあり、「回復」ツールは暗号化されたファイルをさらに破損し、キーをC&Cに送信するときにネットワークの問題が発生し、サーバーが押収された可能性があります...いくつかランサムウェアファミリーは、単一のファイルの無料の復号化を提供して、それが可能であることを証明します。 賢く使用してください
また、場所によっては、身代金の支払いが違法となる場合があります(犯罪者に資金を提供しています)。
私は犯罪者よりもファイルを回復するためにAVを支払うほうを好みます。あなたが彼らのブランドをインストールしていたなら、それは無料かもしれません。例えば Dr Web's を参照してください
ビジネスは、身代金を支払うことは、再建して回復しようとするよりも安いと決定したという主張も興味深いです。身代金を支払い、ファイルを取り戻した場合(少なくとも疑わしい)であっても、感染した構造を再構築する必要があります。彼らが感染したマシンをどのように信頼しますか?さらに、彼らはそれが再び起こらないように対策を講じる必要があります。そしてこの場合、彼らは彼らがどのようにそれらを感染させたかさえ知りません!
暗号ロッカーの犠牲になった企業を見つけるのは驚くべきことです...数か月後に再感染し、それでも回復手段がありません。
シャドウコピーからファイルを回復できないということは、ウイルスがそれらを無効にして管理することを意味し、これが質問につながりますユーザーが管理者として実行しているのはなぜですか?
または、国の規制に違反する可能性のある(有効な)バックアップ計画がない。
ラグを払って問題を隠すだけでは決まらない。ランサムウェアに見舞われ、復旧して数時間(せいぜい数日)で作業を続行できない場合は、大きな問題があります。彼らが悪い方法を見つけたので。
この質問に最新の情報を提供します。
Interpolは、オランダの警察、カスペルスキー、およびIntel Securityと協力して、ランサムウェアの被害者が誘拐されたファイルを無料で復号化するためのツールを見つけることができるサイトを提供しています: No Ransom 。
これは、ファイルを回復する機会を得るための最良のオプションです。すでに述べたように、身代金を支払うことはあなたがあなたのファイルを取り戻すことを保証するものではなく、同時にあなたは犯罪活動をサポートします。
追加したいポイントがいくつかあります。
画像は この記事 からのものです。これは、特に、あなたが支払うことにしたときに何が起こるかを説明しています。