浅谈号称能解密一切勒索软件的数据恢复厂商

释放双眼,带上耳机,听听看~!

若干年前,我曾发表过一篇名为

BlackRouter/Gandcrab等勒索软件即服务(RaaS)的推广和运营之道

其中提及了勒索软件代理商的定义,37分,28分,甚至55开都有。

然而今天的主角不是他们,而是号称能解密一切勒索软件的数据恢复厂商。

很多做安全应急的小伙伴都曾经遇到过一个被勒索软件加密过的后缀名,

.ox4444 .help4444 .all4444 .china4444 .monkey4444 .snake4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444 等所有以*4444结尾的被加密的文件名。

细心的朋友可以看出,这简直就是十二生肖的合集。

实际上,这个后缀代表的勒索软件家族名为GlobeImposter,一个曾经搞了很多家国内医院的勒索软件,而且在近几个月还频频有人来问我如何解密的勒索软件。

当然,从目前公开渠道信息整合后可发现,使用该勒索软件的大部分为国内黑产团伙。

由于GlobeImposter家族使用了RSA2048算法加密,解密极其困难,目前该勒索软件暂无解密工具。

可是为何,搜索家族名 加 后缀名的方式,会出来这么多可以解密的方法呢?

实际上,我们点击其中一个进去,就会发现奇怪之处。可以看出,套路极度一致,一篇关于勒索软件的介绍外加应急处置措施。

然而在图片中却显示了联系方式,并声称“神数(速)一天解密”。

类似上述的很多很多。

曾经在某个安全厂商的报告中曾经暗示过

“如有人称其有解密工具,很有可能是向攻击者交付赎金以获取解密工具的行为”


再结合此前曾经对该业内人士的了解,可以从中引出一个词语。


中间商

而实际上,中间商还是有很广泛的定义。

例如我前些日子发布的一篇关于美国被勒索软件袭击导致全城服务停止的,里面去和攻击者进行谈判的保险公司,其实也算是中间商的一种,当然是不赚差价的那种。

赎金50万美元成交!美国佛罗里达州二度被勒索软件屠城

而这里提到的中间商,基本上和攻击者有进行长期合作,通常会直接找攻击者要解密工具,从而赚取差价。


而在中间商中,实际上也分上线和下线,比如这个中间商往上拿货,然后被拿货的继续往上。


因此很有可能最后的赎金都会比解密的费用高。


不过也没辙,你定金都交了,还差那点尾款么。

话说,为什么我今天要发这个主题呢?

因为刚发现,有两家号称能解密一切勒索软件的数据恢复厂商被曝光购买攻击者的解密工具再帮助用户进行勒索软件解密操作了。

今年五月,ProPublica 披露,两家提供勒索软件解决方案的数据恢复公司被发现是在欺骗受害者,他们所谓的解决方案其实就是支付赎金然后向受害者收取更多的费用。


近两天,又一家数据恢复公司被发现只是向勒索者支付赎金。


安全研究员Fabian Wosar为了试探数据恢复公司,特意设计了一个圈套。


其联系苏格兰数据恢复公司Red Mosquito Data Recovery,表示自己的硬盘被勒索病毒锁定,希望恢复硬盘中的数据,实际上硬盘是他自己锁定的。


随后Fabian Wosar发现,数据恢复公司的方法竟是联系黑客讨价还价,协商赎金。


在这一个Fabian Wosar既扮演了勒索软件的受害者,又扮演了发动攻击的黑客的过程中,这家公司在几分钟内就开始联系黑客谈赎金。


这些前一套背后一套的公司,可以说是让勒索攻击活动日益兴旺,反而促进了勒索解密行业浑水摸鱼的发展。


并且,Red Mosquito Data Recovery的收费标准是黑客勒索金额的4倍,这意味着该数据恢复公司并没有做任何事情,却获得了3倍于勒索金额的数据恢复服务佣金!


在被曝光之后,它还从网站上删除了部分声明,包括将“诚实免费的建议”改为“免费的建议”。

也就是说,这家公司,又做代理商,又做中间商,生活美滋滋,还不用被抓,牛逼咯

看完我只想说,披着羊皮的狼,比狼更危险。


最后,我只是在百度上搜索了一下勒索软件,结果广告就开始给我推送数据恢复了。

百度,真是贴心呢。

*本文由黑鸟公众号原创发布,未经许可不得以任何形式转载。

感谢关注转发点赞

更多文章请点击历史文章

加星标方法如下

今日这篇文章推荐大家学习看看

MuddyWater(污水) APT组织针对塔吉克斯坦的攻击活动的分析

更多情报,请关注后点击菜单栏的知识星球

扫二维码加入每日更新的知识星球,打开威胁情报世界大门

(现在已经开启分享有赏模式,分享的越多,你赚的越多哦,原价299,现价269

不多BB,求点个在看吧

本文源自微信公众号:黑鸟

人已赞赏
安全工具

暴风雨前的耳聋:普京在9·11前两天致电布什,警告可能发生恐袭

2019-10-16 10:06:05

安全工具

IoT僵尸网络Miori通过ThinkPHP远程代码执行漏洞进行传播

2019-10-16 10:06:12

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索