it-swarm.com.de

Erhalten von Dateien durch Bezahlen von Ransomware

Ein Unternehmen, für das ich unterstütze/arbeite, wurde von Ransomware heimgesucht. Ich habe alle Datenwiederherstellungspfade usw. durchlaufen und das Unternehmen hat entschieden, dass das Bezahlen des Lösegelds billiger ist als das Wiederherstellen und der Versuch, es wiederherzustellen.

Meine Frage ist: Hat jemand den Prozess der Bezahlung eines Ransomware-Unternehmens durchlaufen? Senden Ihnen die Bösen nach dem Bezahlen einen privaten Schlüssel und wenn ja, wie verwenden Sie ihn zum Entschlüsseln von Dateien?

EDIT: ( auf Anfrage, da die Leute unten Informationen angefordert haben und angenommen haben, dass dies einigen anderen helfen könnte, die dieses Thema finden)

Was den Typ betrifft, denke ich, dass es eine Variante von CryptoLocker sein könnte. Die Anwendung war nach dem Treffer nirgends zu finden. Ich habe 3 verschiedene AV-Scans durchgeführt und keine Anzeichen von irgendetwas gefunden. Alles was ich tun musste war dieses Bild:

Ich habe den Angriff auf den von Cryptowall 4.0 eingegrenzt, gemessen an der verwendeten URL. Ich habe diese URL auf eine Mailingliste für SNORT zurückgeführt und festgestellt, dass Cryptowall 4.0 erwähnt wird.

Hier ist ein Forenthema mit einem Vortrag, der dem entspricht, was ich hier für Interessierte sehe

(Cryptolocker "ransome note"

80
Jason

Bestimmen Sie zunächst, von welcher Ransomeware-Variante Sie betroffen sind. Je nachdem, welche, haben Sie möglicherweise mehr Optionen.

Wie @Ohnana gesagt hat, sind Ransomware-Betreiber im Allgemeinen ihrem Wort treu, es liegt schließlich in ihrem Interesse. Wenn bekannt würde, dass bestimmte Gruppen niemals zulassen, dass Daten entschlüsselt werden, erhalten sie kein Geld mehr von ihren Opfern.

Davon abgesehen würde ich vorschlagen, dass es wichtig ist, bevor Sie bezahlen, festzustellen, welcher Variante Sie zum Opfer gefallen sind. Es gibt frei verfügbare Entschlüsselungswerkzeuge fürmehrereVarianten , und es gibt mindestens eine dokumentierte Variante, die einen Fehler enthält, der = macht Entschlüsselung unmöglich .

Sobald Sie festgelegt haben, welche Variante Sie haben, können Sie schnell nachforschen, wie der Entschlüsselungsprozess aussehen kann, und ob Sie dies mit einem kostenlosen Tool tun können, anstatt den Ransomware-Betreiber zu bezahlen.

77
GreatSeaSpider

Als seriöser IT-Berater sollten Sie niemals empfehlen, Ransomware zu bezahlen. Wenn es fehlschlägt, werden Sie beschuldigt. Wenn es funktioniert, werden Sie nicht dafür verantwortlich gemacht, dass Sie dagegen empfohlen haben, da das Unternehmen weiß, dass sie spielen und schlampig waren, weil sie es zugelassen haben. Und die Empfehlung, einem Verbrecher Erpressung zu zahlen, trübt Ihr Image. Ich würde niemals einen Klempner oder einen Mechaniker benutzen, der die Zahlung eines kriminellen Erpressungsgeldes empfahl, da ich annehmen würde, dass sie mit den Kriminellen in Streit geraten. Wenn Sie ein IT-Berater sind, haben Sie Zugriff auf die eindeutigen Kennwörter dieses Unternehmens und dergleichen. Wenn diese nicht gegen eine interne Regel verstoßen, die gegen die Ausführung von Vorgängen in ihrem Netzwerk verstößt, sind Sie teilweise dafür verantwortlich.

Es gibt noch einige andere Dinge, die Sie darüber wissen sollten:

  1. Die Kriminellen werden eine Hintertür installieren, damit sie das Opfer in den nächsten 6 Monaten erneut schießen können. Durch das Bezahlen von Ransomware wird das Setup nicht "wiederhergestellt". Das Setup wurde zunächst abgespritzt, weil sie eingestiegen sind. Das Unternehmen muss das Netzwerk noch vollständig zerreißen und ordnungsgemäß neu aufbauen, damit dies in Zukunft nicht mehr vorkommt.

  2. Die Ransomware-Autoren verbringen viel Zeit mit Blogs und veröffentlichen falsche Geschichten darüber, wie Unternehmen ihre Dateien schnell und einfach durch Bezahlung wiederhergestellt haben. Das bedeutet nicht, dass keiner dieser Kriminellen jemals Dateien wiederherstellt, nachdem er bezahlt wurde. Dies bedeutet, dass sie, da sie ohnehin alle falsche Namen verwenden, keinen Ruf verlieren, wenn sie die Dateien NICHT wiederherstellen, und Sie diesen apokryphen Geschichten nicht vertrauen können.

  3. Unternehmen, die Betrugsopfer sind, möchten NIEMALS darüber sprechen. Kürzlich wurde ein Kunde von mir über einen einfachen gefälschten E-Mail-/Überweisungsbetrug von 20.000 US-Dollar betrogen. Sie baten mich, ihren Namen in öffentlichen Foren nicht zu erwähnen. Derselbe Kunde war vor etwa einem Jahr Opfer eines Cryptolocker-Angriffs geworden, weil er meinen Rat zur Netzwerksicherheit ignoriert hatte, und er fragte mich auch nach dem Bezahlen - ich sagte ihm, dass er es NICHT tun soll - und ich stellte seine Backups wieder her. Sie haben nicht bezahlt und sie haben keine Dateien verloren. Und sie gingen gegen ihre Angestellten vor und begannen, die Dinge zu tun, die ich ihnen seit einiger Zeit gesagt hatte. Leider haben sie mir nie mitgeteilt, wie sie mit Überweisungen umgehen, so dass ich den Kibosh nicht darauf setzen konnte, wie sie es machten.

  4. Dieses Opfer geht davon aus, dass es sich um eine Art Geschäft handelt, dass es tatsächlich die Wahl hat , jetzt ein wenig zu zahlen, um seine Dateien zurückzubekommen oder mehr bezahlen, um ihre Dateien aus dem Backup zurückzubekommen. Das ist eine Illusion und die Tatsache, dass sie sogar darüber nachdenken, zeigt, wie weit sie gegangen sind - und zeigt im Übrigen, wie arm ein Job ist, den Sie gemacht haben, um sie zu beraten. Die Realität hier ist, dass sie erwägen, jemanden zu bezahlen, der nicht identifiziert ist, absolut keinen Ruf zu verlieren hat, keinen Anreiz hat, ihre Dateien wiederherzustellen - und tatsächlich einen Anreiz hat, ihre Dateien NICHT wiederherzustellen, weil der Kriminelle umso mehr Arbeit leistet, um zu helfen Je mehr Opfer sie haben, desto größer ist die Chance, erwischt zu werden.

Der Verbrecher weiß nicht, mit wem er es zu tun hat - er weiß nicht, ob es sich um ein echtes Unternehmen oder eine Frontfirma handelt, die von den Strafverfolgungsbehörden gegründet wurde, um sie zu vernichten. Die Regel hier ist, je weniger sie sich mit dem Opfer beschäftigen, desto sicherer ist es für sie. Sobald sie das Geld bekommen, wenn sie "helfen", haben sie mehr Chancen, erwischt zu werden.

61

Bei der klassischen Cryptowall erreicht der Virus selbst normalerweise das C2C, greift nach dem privaten Schlüssel und beginnt mit dem Entschlüsselungsprozess. Es gibt auch ein eigenständiges Tool, auf dem ein Entschlüsselungsschlüssel vorinstalliert ist, der automatisch mit der Entschlüsselung beginnt. Die meisten Ransomware-Programme machen den Lösegeldprozess so schmerzlos wie möglich.

Das FBI hat bemerkt , dass viele dieser Ransomware-Betreiber ehrlich sind - sie wollen, dass die Leute sie bezahlen, also wird ironischerweise das beste Ergebnis erzielt, wenn sie ihre Seite des Schnäppchen halten (?).

Ein weiterer seltsamer Ratschlag - siehe Virendokumentation. Ein Ransomware-Schema ist nicht erfolgreich, wenn Sie nicht verstehen, wie Sie Ihre Dateien zurückerhalten können!

38
Ohnana

Es gibt jedoch einige Berichte darüber, dass Personen ihre Dateien zurückerhalten

  • andere Leute haben berichtet, dass sie danach eine zweite - unerwartete - Zahlung beantragt haben (nicht so überraschend, da dies eine Erpressung ist)

  • oder einfach das Geld ausgeben und ihre Dateien nicht zurückbekommen

Es ist sogar möglich, dass die Kriminellen selbst sie nicht entschlüsseln können. Vielleicht hat der Benutzer es geschafft, sich zweimal zu verschlüsseln, sein Verschlüsseler ist fehlerhaft, sein "Wiederherstellungs" -Tool beschädigt die verschlüsselte Datei noch weiter, es ist möglicherweise ein Netzwerkproblem aufgetreten, als der Schlüssel an C & C gesendet wurde, sein Server wurde beschlagnahmt ... Einige Ransomware-Familien bieten die kostenlose Entschlüsselung einer einzelnen Datei, um zu beweisen, dass sie dazu in der Lage sind. Mit Bedacht verwenden

Beachten Sie auch, dass es je nach Standort möglicherweise illegal ist, das Lösegeld zu zahlen (Sie finanzieren Kriminelle).

Ich würde lieber einen AV für die Wiederherstellung der Dateien bezahlen als die Kriminellen. Es kann sogar kostenlos sein, wenn Sie ihre Marke installiert hatten. Siehe zum Beispiel Dr. Web's

Ich finde auch die Behauptung interessant, dass das Unternehmen entschieden hat, dass die Zahlung des Lösegelds billiger ist als der Wiederaufbau und der Versuch, sich zu erholen . Selbst wenn Sie das Lösegeld bezahlen und Ihre Dateien zurückerhalten (was zumindest zweifelhaft ist), sollten Sie die infizierte Struktur neu erstellen. Wie werden Sie der Maschine vertrauen, die sie infiziert haben? Außerdem müssen sie Maßnahmen ergreifen, damit es nicht wieder vorkommt. Und in diesem Fall wissen sie nicht einmal, wie sie sie infiziert haben!

Es ist überraschend herauszufinden, dass Unternehmen Opfer von Kryptolockern geworden sind ... nur um einige Monate später erneut infiziert zu werden und immer noch keine Wiederherstellungsmittel zu haben.

Wenn Sie die Dateien nicht aus den Schattenkopien wiederherstellen können, konnte der Virus sie deaktivieren. Dies führt zu der Frage Warum wurden Ihre Benutzer als Administrator ausgeführt?

Oder Sie haben keinen (funktionierenden) Backup-Plan, der möglicherweise gegen nationale Vorschriften verstößt.

Sie können sich nicht einfach dafür entscheiden, die Probleme zu bezahlen und unter dem Teppich zu verstecken . Wenn Sie von einer Ransomware getroffen wurden und nicht in der Lage sind, sich innerhalb weniger Stunden (höchstens einige Tage) zu erholen und weiterzuarbeiten, haben Sie ein großes Problem. Wie sie den schlechten Weg herausgefunden haben.

19
Ángel

Bereitstellung aktueller Informationen für diese Frage.

Interpol hat sich mit der niederländischen Polizei, Kaspersky und Intel Security zusammengetan, um eine Website bereitzustellen, auf der Ransomware-Opfer Tools finden können, mit denen sie ihre entführten Dateien kostenlos entschlüsseln können: No More Ransom .

Dies ist die beste Option, um Ihre Dateien wiederherzustellen. Wie bereits erwähnt, garantiert die Zahlung des Lösegelds nicht, dass Sie Ihre Akten zurückerhalten, und unterstützt Sie gleichzeitig bei kriminellen Aktivitäten.

3
dr_

Ein paar Punkte, die ich hinzufügen möchte:

  • Verschwenden Sie nicht zu viel Zeit, wenn Sie sich für eine Zahlung entschieden haben. Ich rate Ihnen nicht, das Geld Ihres Kunden wegzuwerfen, ohne es vorher vorsichtig zu machen, aber einen weiteren Monat auf das Erscheinen eines kostenlosen Tools zu warten, ist ein schlechter Plan: Es besteht die Möglichkeit, dass die Gauner verschwinden oder erwischt werden, und Ihre Daten könnten es sein für immer verloren.
  • Klingen Sie nicht so, als würden Sie ein Unternehmen repräsentieren, das Geld zum Ausgeben hat. Dies erhöht die Wahrscheinlichkeit, dass eine zweite Zahlung angefordert wird. Und wenn Ihnen ein kostenloser Entschlüsselungstest angeboten wird, senden Sie keine geschäftsbezogenen Dateien weg. Wenn Sie so tun, als wären Sie ein kleines Unternehmen oder eine Privatperson, die Ihre Fotos zurückbekommen möchte, funktioniert dies viel besser:

(enter image description here

Das Bild stammt von dieser Artikel und beschreibt unter anderem, was passiert, wenn Sie sich für eine Zahlung entscheiden.

2