Question:
Récupérer des fichiers en payant Ransomware
Jason
2015-12-04 20:31:53 UTC
view on stackexchange narkive permalink

Une entreprise que je soutiens / pour laquelle je travaille a été frappée par un ransomware. J'ai parcouru tous les chemins de récupération de données, etc. et l'entreprise a décidé que payer la rançon était moins cher que de reconstruire et d'essayer de récupérer.

Ma question est la suivante: quelqu'un est-il passé par le processus de paiement d'une entreprise de ransomware? Une fois que vous avez payé, les méchants vous envoient-ils une clé privée et si oui, comment l'utilisez-vous pour déchiffrer des fichiers?

MODIFIER: ( sur demande, car les gens ont demandé des informations ci-dessous et j'ai pensé que cela pourrait aider d'autres personnes à trouver ce sujet )

En ce qui concerne le type, je pense que cela pourrait être une variante de CryptoLocker. L'application était introuvable après le coup. J'ai exécuté 3 analyses AV différentes et je n'ai trouvé aucun signe de quoi que ce soit. Tout ce que j'avais à faire était cette image:

J'ai réduit l'attaque pour être celle de Cryptowall 4.0 à en juger par l'URL utilisée. J'ai retracé cette URL vers une liste de diffusion pour SNORT et j'ai vu Cryptowall 4.0 être mentionné.

Voici un sujet de forum avec des discussions qui correspondent à ce que je vois ici pour les personnes intéressées

Cryptolocker "ransome note"

Je crois comprendre que les méchants vous donneront un outil de décryptage - ils veulent que ce soit indolore et facile pour que les gens continuent de les payer.
Identique à ce que dit Mike, mais parmi les rares cas de ransomewares que j'ai traités, nous avons toujours eu une option de sauvegarde des données. Jamais eu à payer. Cependant, je serais spéculatif de le payer, comme si ils prenaient mes bitcoins et ne me donnaient rien. Je ne laisserais pas passer les rédacteurs de code simplement pour prendre mon argent et m'oublier. Je veux dire qu'ils ne sont pas une entreprise légitime à qui quelqu'un va dire: ne faites pas affaire avec "Your Balls in a Vice Software"
Vous devez créer un plan de sauvegarde pour votre entreprise afin que cela ne se produise plus à l'avenir!
@Skyküff Je suis d'accord. Cependant, dans ce cas, nous sommes plus une entreprise informatique sur appel, donc tout ce que nous pouvons faire est de recommander des options, et la plupart des entreprises ne souhaitent pas dépenser de l'argent sur le côté informatique.
Pouvez-vous nous dire à quelle variante de ransomware vous avez affaire?
La première moitié a une belle histoire personnelle de paiement de la rançon http://www.radiolab.org/story/darkode/
Par exemple, dans certains cas, Linux.Encoder.1 (nom Bitdefender) peut être déchiffré à l'aide d'un outil gratuit à partir de http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption- clé/
Un [certain vieux poème] (http://www.poetryloverspage.com/poets/kipling/dane_geld.html) vient * immédiatement * à l'esprit.
* (...) les méchants vous donneront un outil de décryptage - ils veulent que ce soit indolore et facile (...) * --- Comme ils sont attentionnés.
C'est un peu drôle que le propriétaire du ransomware fournisse réellement à l'utilisateur un très bon service «client» au cas où l'utilisateur ne serait pas averti en technologie. Les propriétaires de ransomwares intelligents sont sûrs de le déchiffrer, car les gens sont plus susceptibles de payer s'ils en ont réellement pour leur argent.
Je vous recommande, si vous finissez par payer la rançon, vous devriez impliquer le FBI (ou toute entité d'application de la loi pertinente pour votre emplacement). Même si vous suivez exactement les étapes du rançon et ne lui montrez aucune résistance, votre expérience sera utile aux services de police dont le travail consiste à attraper ces escrocs.
Gardez à l'esprit que vous donnez des informations bancaires / de paiement à une entité inconnue dont le modèle commercial dérange les gens. Je serais très prudent et je planifierais comment vous souhaitez payer la rançon en toute sécurité. N'oubliez pas que ce sont des criminels. Pas vos amis, pas une entreprise qui travaille pour vous, ou quelqu'un qui pourrait se soucier de savoir si vos données sont récupérables ou non après que vous les ayez payées.
@BradMetcalf: J'imagine qu'ils veulent des bitcoins. Ainsi, au moins aucune carte de crédit ou information bancaire ne sera compromise.
@baconface En fait, il ne le fera pas.Il achètera des bitcoins à un tiers (espérons-le) de bonne réputation.Ensuite, il transférera ces bitcoins aux criminels.Les criminels n'obtiendraient aucune de ses informations bancaires pendant le processus de paiement.
Six réponses:
GreatSeaSpider
2015-12-04 22:14:24 UTC
view on stackexchange narkive permalink

Tout d'abord, déterminez quelle variante de ransomeware vous a frappé. En fonction de celui-ci, vous pouvez avoir plus d'options.

Comme @Ohnana l'a généralement dit, les opérateurs de ransomware sont fidèles à leur parole, c'est dans leur intérêt après tout. Si l'on apprenait que certains groupes n'ont jamais autorisé le déchiffrement des données, ils cesseraient de recevoir de l'argent de leurs victimes.

Cela étant dit, je suggérerais qu'il est important avant de payer d'essayer de déterminer lequel variante dont vous êtes devenu victime. Il existe des outils de décryptage disponibles gratuitement pour plusieurs variantes, et il y a au moins une variante documentée qui contient un bogue qui rend le décryptage impossible.

Une fois que vous avez déterminé quelle variante vous avez, vous pourrez rechercher rapidement ce que vous pouvez attendre du processus de décryptage, et si vous pouvez le faire en utilisant un outil gratuit plutôt qu'en payant l'opérateur du ransomware.

Ted Mittelstaedt
2015-12-05 11:29:00 UTC
view on stackexchange narkive permalink

En tant que consultant informatique respectable, vous ne devriez jamais recommander de payer un ransomware. Si cela échoue, vous serez blâmé. Si cela fonctionne, vous ne serez pas blâmé de l'avoir recommandé, car l'entreprise sait qu'elle joue et qu'elle a été négligente pour l'avoir laissé se produire. Et recommander de faire du chantage à un criminel ternit votre image. Je n'utiliserais jamais un plombier ou un mécanicien qui recommanderait de payer un chantage criminel, car je suppose qu'ils étaient de mèche avec les criminels. Si vous êtes un consultant informatique, vous avez accès aux mots de passe uniques de cette entreprise et autres, et - à moins qu'ils ne violent une règle interne interdisant de faire quelque chose sur leur réseau - VOUS êtes en partie responsable de ce qui se passe.

Il y a plusieurs autres choses que vous devez savoir à ce sujet également:

  1. Les criminels vont installer une porte dérobée pour qu'ils puissent à nouveau fusiller la victime dans les 6 prochains mois. Payer un ransomware ne «restaure» pas la configuration. La configuration a été interrompue car ils sont entrés. L'entreprise doit encore complètement démolir et reconstruire le réseau correctement pour que cela ne se reproduise plus à l'avenir.

  2. Les auteurs de ransomwares passent BEAUCOUP de temps sur les blogs et publient de fausses histoires sur la façon dont les entreprises ont restauré leurs fichiers rapidement et facilement en payant. Cela ne signifie pas qu'aucun de ces criminels ne restaure jamais des fichiers après avoir été payé. Cela signifie que comme ils utilisent tous de faux noms de toute façon, ils n'ont aucune réputation à perdre en ne restaurant PAS les fichiers et vous ne pouvez pas faire confiance à ces histoires apocryphes.

  3. Les entreprises victimes d'escroquerie ne veulent JAMAIS en parler. Récemment, un de mes clients a été victime d'une arnaque via une simple escroquerie par e-mail / virement bancaire de 20000 $. Ils m'ont supplié de ne pas mentionner leur nom sur les forums publics. Ce même client a été victime d'une attaque Cryptolocker il y a environ un an en raison de l'ignorance de mes conseils sur la sécurité du réseau, et ils m'ont également demandé de payer - je leur ai dit de NE PAS le faire - et j'ai restauré à partir de leurs sauvegardes. Ils n'ont pas payé et ils n'ont pas perdu de fichiers. Et ils ont réprimé leurs employés et ont commencé à faire ce que je leur disais de faire depuis un certain temps. Malheureusement, ils ne m'ont jamais expliqué comment ils géraient les virements électroniques, donc je ne pouvais pas dire comment ils le faisaient.

  4. Cette victime fonctionne sous l'hypothèse que c'est une sorte de transaction commerciale, qu'ils ont en fait le choix entre payer un peu maintenant pour récupérer leurs fichiers ou payer plus pour récupérer leurs fichiers de la sauvegarde. C'est une illusion et le fait qu'ils envisagent même cela montre à quel point ils sont partis - et montre d'ailleurs à quel point le travail que vous avez fait pour les conseiller est pauvre . La réalité ici est qu'ils envisagent de payer quelqu'un qui n'est pas identifié, qui n'a absolument aucune réputation à perdre, n'a aucune incitation à restaurer ses fichiers - et, en fait, est incité à NE PAS restaurer ses fichiers parce que plus le criminel fait de travail pour aider. la victime, plus elle a de chances d'être arrêtée.

Le criminel ne sait pas à qui il a affaire - il ne sait pas s'il a affaire à une vraie entreprise ou une société écran qui a été créée par les forces de l'ordre pour les arrêter. La règle ici est que moins ils s'engagent avec la victime, plus c'est sûr pour eux. Une fois qu'ils reçoivent de l'argent s'ils traînent pour «aider», ils ont plus de chances de se faire prendre.

Il existe cependant deux possibilités distinctes. 1. L'entreprise reçoit une attaque de ransomware, puis s'approche d'un consultant. Ils n'ont pas / pas de sauvegardes insuffisantes. 2. Le consultant travaille pour eux depuis un certain temps et ils sont attaqués. Dans le cas 1, payez la rançon, récupérez les fichiers, reconstruisez le serveur à partir de zéro, mettez en œuvre un plan de sauvegarde, mettez en œuvre un plan de prévention pour arrêter la réinfection. Dans le cas 2, restaurer à partir des sauvegardes, mettre en œuvre un plan de prévention. Ne devrait pas avoir besoin de payer, car devrait déjà avoir des sauvegardes. Sinon, c'est parce que l'entreprise a refusé malgré les conseils, et non parce que le consultant n'a pas suggéré.
C'est la meilleure réponse. Si vous les payez, vous devriez vraiment faire le calcul en perdant la rançon + en payant pour restaurer votre sauvegarde. Bien qu'il ne soit pas clair à 100% qu'il est en fait un consultant, c'est la seule façon de procéder - si l'entreprise joue avec la rançon, vous n'êtes pas à blâmer.
Donner votre vrai nom dans une réponse n'aide pas vraiment avec quoi que ce soit, vous donne l'air un peu stupide, surtout lorsque votre nom d'utilisateur est le même. Quant à votre réponse, vous blâmez le consultant informatique alors que l'entreprise elle-même a commis l'erreur de faire exécuter ce ransomware en premier lieu. Je ne suis pas du tout d'accord avec "devoir reconstruire à nouveau" parce que vous serez toujours infecté. Ce n'est tout simplement pas vrai, une sauvegarde des données désormais non chiffrées peut être effectuée, puis une installation propre peut être effectuée. Il n'y a pas d'autre choix que de payer la rançon si vous voulez vraiment récupérer vos fichiers.
Je suis d'accord avec @JameyD pour dire que cette réponse «sent» le spam. (Je ne vous accuse pas carrément d'être un spammeur, je dis simplement que la formulation de votre message est suggestive - que ce soit intentionnellement ou non, qui sait.) Votre vrai nom _déjà_ apparaît dans la balise utilisateur en bas de l'article, donc il ne sert à rien de l'inclure dans le texte du message lui-même, et votre profil peut contenir suffisamment d'informations pour vérifier votre identité et diriger les parties intéressées vers votre entreprise.
OP a déjà déclaré que ce n'était pas sa décision. Il pose simplement des questions sur le processus. J'ai dû voter contre, car aussi bon soit-il, cela ne répond pas à la question.
Je suis étonné que cette réponse ait autant de votes positifs qu'elle, car elle néglige complètement de répondre à la question et consiste essentiellement en une longue diatribe non pertinente, avec des hypothèses non fondées sur l'étendue du rôle du PO dans la gestion de leur réseau. La question n'est pas de savoir s'il faut ou non conseiller à l'entreprise de payer. L'entreprise a pris cette décision.
"montre d'ailleurs à quel point un travail que vous avez fait PAUVRE les conseille": certaines personnes sont PAUVRES à GETTING. Cela ne veut pas dire que le conseil n'est pas solide, c'est juste que le destinataire est obtus.
"Answer" ignore complètement le fait qu'OP commence par spécifier que les options de récupération de données conventionnelles sont déjà épuisées. Bien sûr, vous ne payez pas si vous pouvez restaurer à partir d'une sauvegarde, mais ce n'est pas la question. "Answer" ne tient pas compte du fait que OP n'est pas sollicité pour une recommandation binaire, mais pour donner un aperçu des conséquences pour différentes options. "Answer" ignore le fait que ce ne sont pas des blogs aléatoires qui notent que les ransomwares ont tendance à restaurer les données, Ohnana relie un article qui note que le FBI déclare que vous avez tendance à récupérer les données lorsque vous restaurez.
@JonBentley Je parie que les votes positifs sont plus pour le sentiment. Chaque fois que quelqu'un paie pour Ransomware, cela encourage les criminels à continuer à le faire. Pire encore, c'est uniquement dû à une mauvaise planification (nous avons été touchés par le Cryptolocker original et nous venons de le restaurer à partir d'une sauvegarde). Mais je suis d'accord, ça ne répond pas à la question
Qu'est-ce que tout le monde fume, ici ???? VOUS NE PAYEZ JAMAIS DE RANSOM, est-ce que vous obtenez ça ???? Jamais, jamais, en aucune circonstance! Ted explique parfaitement pourquoi. Pour beaucoup, sinon tous, les escroqueries par cryptolocker la clé est dans le binaire du système, faites appel à un spécialiste averti, moins cher que de payer la rançon (dans la plupart des cas) et vous ne financez pas d'activité criminelle.
Ohnana
2015-12-04 20:46:40 UTC
view on stackexchange narkive permalink

Pour Cryptowall classique, le virus lui-même atteindra généralement le C2C, récupérera la clé privée et commencera le processus de déchiffrement. Il existe également un outil autonome qui est préchargé avec une clé de décryptage qui, à nouveau, commence automatiquement le décryptage. La plupart des programmes de ransomware rendront le processus de rançon aussi indolore que possible.

Le FBI a noté que bon nombre de ces opérateurs de ransomwares sont honnêtes - ils veulent que les gens les paient, donc assez ironiquement, il en résultera leur part du marché (?) dans le meilleur résultat.

Aussi, un autre conseil étrange - reportez-vous à la documentation du virus. Un programme de ransomware échoue si vous ne savez pas comment récupérer vos fichiers!

Ils peuvent également avoir une ligne d'assistance. Je sais que cela semble insensé, mais nous vivons à une époque étrange. Il est tout à fait possible qu'une fois que vous les avez payés, ils vous demandent de récupérer les fichiers si vous leur donnez une sonnerie. Je ne sais pas s'ils utilisent des numéros surtaxés, mais sinon, ils manquent un truc, clairement!
Ces gars semblent plus utiles que comcast et al.!
@Dave Jusqu'à ce que vous vous rendiez compte que vous n'auriez pas de problème sans eux en premier lieu ... Oh, attendez.
Alors téléchargez-vous simplement cette documentation sur les virus à partir de leur site Web ou est-elle préinstallée?
Habituellement, ils changeront l'arrière-plan de votre bureau ou laisseront des fichiers d'aide éparpillés dans vos répertoires. Voir la capture d'écran dans la question pour des exemples de la "documentation" et du "guide d'aide" qu'ils vous donnent.
Ángel
2015-12-06 02:28:17 UTC
view on stackexchange narkive permalink

Il y a des rapports de personnes ayant récupéré leurs fichiers, cependant

  • d'autres personnes ont signalé avoir demandé un deuxième paiement - inattendu - après cela (pas si surprenant, étant donné que c'est une extorsion)

  • ou simplement dépenser de l'argent et ne pas récupérer leurs fichiers

Il est même possible que les criminels eux-mêmes ne sont pas en mesure de les décrypter. Peut-être que l'utilisateur a réussi à se chiffrer deux fois, son chiffreur est bogué, son outil de "récupération" corrompt encore plus le fichier chiffré, il peut y avoir eu un problème de réseau lors de l'envoi de la clé au C&C, leur serveur a été saisi ... Certains Les familles de ransomwares fournissent le décryptage gratuit d'un seul fichier pour prouver qu'elles en sont capables. À utiliser judicieusement

Notez également qu'en fonction de votre emplacement, il peut être illégal de payer la rançon (vous financez des criminels).

Je préfère payer un AV pour récupérer les fichiers plutôt que les criminels. Cela peut même être gratuit si vous avez installé leur marque. Voir par exemple Dr Web

Je trouve également intéressante l'affirmation selon laquelle l'entreprise a décidé que payer la rançon était moins cher que de reconstruire et d'essayer de récupérer . Même si vous payez la rançon et récupérez vos fichiers (ce qui est au moins douteux), vous devez reconstruire la structure infectée. Comment allez-vous faire confiance à la machine qu'ils ont réussi à infecter? De plus, ils doivent prendre des mesures pour que cela ne se reproduise plus. Et dans ce cas, ils ne savent même pas comment ils les ont infectés!

Il est surprenant de découvrir des entreprises qui ont été victimes de cryptolockers ... seulement pour être réinfectées quelques mois plus tard, et toujours sans récupération

Le simple fait de ne pas pouvoir récupérer les fichiers à partir des clichés instantanés signifie que le virus a réussi à les désactiver, ce qui conduit à la question Pourquoi vos utilisateurs fonctionnaient-ils en tant qu'administrateur?

Ou ne pas avoir de plan de sauvegarde (fonctionnel), ce qui peut enfreindre les réglementations nationales.

Vous ne pouvez pas simplement décider de payer et cacher les problèmes sous le tapis . Si vous êtes touché par un ransomware et que vous ne parvenez pas à récupérer et à travailler en quelques heures (quelques jours au maximum), vous avez un gros problème. Comme ils ont découvert le mauvais chemin.

"Je préfère payer un AV pour récupérer les fichiers plutôt que les criminels." Je pense que nous le ferions tous. Cependant, AV n'est généralement pas en mesure de le faire.
dr_
2017-03-09 21:38:23 UTC
view on stackexchange narkive permalink

Fournir à cette question des informations à jour.

Interpol s'est associé à la police néerlandaise, à Kaspersky et à Intel Security pour fournir un site où les victimes de ransomware peuvent trouver des outils pour décrypter leur kidnappé fichiers gratuitement: Plus de rançon .

C'est la meilleure option pour avoir une chance de récupérer vos fichiers; comme déjà dit, payer la rançon ne vous garantit pas de récupérer vos fichiers et vous oblige en même temps à soutenir des activités criminelles.

La bonne solution consiste à utiliser des sauvegardes, mais pour tout ransomware bien conçu, le paiement est malheureusement la seule autre option.Les décrypteurs gratuits se raréfient maintenant que les escrocs apprennent à utiliser une cryptographie appropriée.
Dmitry Grigoryev
2017-04-04 21:42:54 UTC
view on stackexchange narkive permalink

Je voudrais ajouter quelques points:

  • Une fois que vous avez décidé de payer, ne perdez pas trop de temps. Je ne vous conseille pas de jeter l'argent de votre client sans lui faire attention au préalable, mais attendre encore un mois pour qu'un outil gratuit apparaisse est un mauvais plan: il y a de fortes chances que les escrocs disparaissent ou se font prendre, et vos données peuvent être perdu à jamais.
  • Vous n'avez pas l'air de représenter une entreprise qui a de l'argent à dépenser: cela augmentera les chances qu'un deuxième paiement soit demandé. Et si un test de décryptage gratuit vous est proposé, n'envoyez aucun fichier lié à l'entreprise. Faire semblant d'être une petite entreprise ou une personne privée cherchant à récupérer vos photos fonctionne beaucoup mieux:

enter image description here

Le L'image est tirée de cet article qui décrit, entre autres, ce qui se passe lorsque vous décidez de payer.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...