勒索病之所以猖獗,一個重要原因是:制作者常常利用比特幣支付的“匿名性”特點,逃脫追蹤。
這件事發生在一個月前。
我們公司被黑客攻擊了,黑客留下一封“勒索信”,如下:
翻 譯
非常抱歉,由于設備安全問題,你的所有文件都已經被RSA和AES加密。如果你認為你的資料非常重要,唯一的解密方法是購買我的解密工具。你也可以刪除加密文件或是重裝你的系統。
◎?解密步驟如下:
1.如果你沒有比特幣,你可以在一些網站中在線購買。比如……(兩個網址)
2.發送0.05個比特幣到我的錢包地址……
3.發送交付比特幣的截圖和你的個人賬號到我的郵箱……我會把解密工具發給你。
1.不要重命名你的文件。
2.你可以嘗試用一些軟件解密,但最后你會意識到這是徒勞的。
3.如果你無法聯系到我,你可以嘗試把比特幣轉給我,并在傳送信息中粘貼你的郵箱,我會聯系你,并把解密工具發送給你。
祝你度過愉快的一天。
總結來說:我們遭遇了勒索病,文件資料被鎖了,對方要求支付0.05個比特幣,才給解密。
事件經過與直接影響
DownDetector:用戶報告顯示推特服務出現問題:1月21日消息,據監測網絡狀況的網站DownDetector:用戶報告顯示推特(TWTR.N)服務出現問題。(金十)[2022/1/21 9:03:23]
2021年12月13日,周一,“網管”老沈,如往常在10點左右到公司上班。上午時間,公司員工較少,老沈的工作壓力相對較輕。類似事件是破天荒,頭一回!一開始,老沈只是覺得某個程序出錯了,看到勒索信時,才知道原來是中了勒索病。這時候,距離攻擊時間已經超過12個小時。
12月11日周六晚上的8點多時間,黑客就開始入侵我方服務器,服務器開始報錯,頻繁登錄,有不明訪問……這些都是留有痕跡的。
彼時正值周末,且是雙12這個購物節日,我方幾乎無人值班。時間過去7個小時,12月12日凌晨3點,服務器被攻破了。我們的數據庫被加密了。無論是Word還是Txt都被更改了后綴名,打不開。
很快,這件事開始直接影響我們的辦公效率。10點35分,一位曹姓同事,在公司大群發了一條信息:“OA大概多久能好呀……”我們的報銷、打款、審批等事項,就放在OA(辦公系統)上進行。
這句話雖然沒有指名道姓,但大家都知道,這是對行政部的老沈說的。無論是網頁卡了,密碼忘了,電腦壞了,還是打印機沒動靜了……都找老沈。
韓國科學技術院與WEF等機構出版區塊鏈全球標準報告書:韓國科學技術院(KAIST)29日表示,其與世界經濟論壇(WEF)、全球連鎖商業委員會(GBBC)、美國麻省理工學院(MIT)等一起出版了區塊鏈全球標準報告書。報告書包含各國區塊鏈技術標準、法律、規制、行政方針等。報告對30個國際技術標準團體、185個國家的司法機關、400個產業團體的信息系統化提出了技術標準。(韓聯社)[2020/10/29]
老沈常常顧了這,顧不到那,做不到快速反應。但這次反應明顯要快許多,不過是壞消息。10分鐘后,行政部的一條消息在公司群里炸了鍋:
今天OA服務器無法正常使用,具體原因老沈還在進行排查,還請大家耐心等候,如有恢復,將在群里及時通知大家。
“今天不會恢復了嗎?有著急的文件今天要蓋章。”一位女同事詢問,配了一個流淚的表情包。剎那間,滿屏的“恨鐵不成鋼”。
初步應對失敗與原因
干了16年“網管”的老沈,對此并沒有辦法。我們的應對策略都遭到了失敗。
① 斷網,但是黑客加密已經完成。
② 盡可能備份,但財務等核心資料已經被加密。
報告:大型傳統企業還沒有準備好接受加密支付:根據兩份研究報告,大型傳統企業現在還沒有準備好接受加密支付。Gartner報告稱,大公司的首席信息官對比特幣和其他加密貨幣作為交換媒介可能取得成功的說法很謹慎,“盡管比特幣和其他加密貨幣前景光明,但沒有一家最大的在線或傳統零售商大規模接受它們。雖然比特幣被用作價值儲存,但它并沒有成為日常商業交易的交換媒介。”該研究質疑,基于區塊鏈的支付能否將費用降低到所聲稱的程度。此外,在會計和稅務處理方面缺乏明確性,大多數商戶無法處理加密貨幣兌換風險。根據Gartner的報告,一些基于區塊鏈的項目并沒有完全成功。一些公司的動機更多地是出于企業公共關系,而不是解決效率低下的真正愿望。
瑞士信貸(Credit Suisse)最近的報告預測,加密貨幣將面臨挑戰,難以在近期至中期對現有的消費者支付(C2B)生態系統產生有意義的影響。其提到的問題包括稅收問題、監管不確定性以及缺乏退款和爭議程序。(Cointelegraph)[2020/7/6]
③ 找網警報案,雖已經立案,可偵破案件時間不確定,實在耗不起。
④ 借助已有安全軟件工具尋找是否存在公開解密工具,無果。
我們也想遂了黑客的心愿。0.05個比特幣,按照12月13日比特幣5萬美元的價格,對此我們需要花2500美元(折合人民幣1.5萬元左右)。相比于OA系統無法運作可能造成的損失,這筆錢不算多。
但老沈覺得對方也可能出爾反爾,甚至在解密郵件上大做文章。
Zcash基金會Q1報告:年度開支預算降低至268萬美元:Zcash基金會已發布2020年第一季度報告。報告提到,因新型冠狀病疫情導致社區會議Zcon2取消,差率費用減少,基金會的總開支將相應減少。此前Zcash基金會在一月制定的年度開支預算為324萬美元,鑒于上述情況,一季度內基金會已批準了一份新的預算計劃,新的預算為268萬美元。此外,報告還提到,基金會目前大約持有101000ZEC(約427萬美元)、42BTC(約28萬美元)以及400萬美元法幣,經計算,合計約855萬美元。[2020/4/21]
最近也有類似的一則新聞:去年12月下旬,溫州某超市的儲值卡系統癱瘓,數據庫信息均被加密。黑客留言,24小時內支付0.042個比特幣(當時相當于1789.2美元)才提供解密工具。超市老板照做了,但黑客未履約。
在這種情況下,意味著這件事很大可能是無解的。早在2017年,知名的殺軟件供應商俄羅斯卡巴斯基實驗室說,勒索病使用的加密算法無解,(中了勒索病后)重裝系統才能繼續使用,但被加密的文件將會丟失。
那么如今呢?值得一提的是,在“凈網2020”專項行動中,國內首名比特幣勒索病的制作者巨某(涉案500余萬元)落網。引用其中的專案組成員、啟東市局網安支隊民警黃瀟艇的話來說:
一般來說,沒有病制作者的解密工具,其他人是無法完成解密的。勒索病入侵電腦,對文件或系統進行加密,每一個解密器都是根據加密電腦的特征新生成的。
據360安全大腦2020年相關報告稱:超過3700例確認遭受勒索病攻擊,最終幫助超過260例完成文件解密工作。即,僅只有7%的成功率。
動態 | 報告:暗網市場2019年的加密貨幣交易額達到7.9億美元 較上年增加70%:據jp.cointelegraph消息,區塊鏈跟蹤公司Chinalysis在一份報告中表示,2019年使用加密貨幣購買非法藥物和信用卡信息的暗網市場已大大擴展。暗網市場2019年的加密貨幣交易額達到7.9億美元,比上年增長70%。加密貨幣在交易中的比例也略有增加,從2018年的0.04%增加到0.08%。此外,除了比特幣,暗網還支持使用ETH、USDT、LTC等25種加密貨幣。[2020/1/29]
事態進一步嚴重化,12月13日下午兩點50分,行政部進一步發布公告:本周OA服務器無法使用。
問題出在哪里?勒索病卷土重來!
回顧勒索病的發展史,2017年,勒索病“想哭”席卷了全球150個國家的30萬臺電腦,一般需要支付價值300—600美金的比特幣方能解密。
此后勒索病持續不斷演變成為各個版本與類型。比如:加密文檔、鎖定屏幕、鎖定硬盤、加密數據庫,等等。
國內企業遭遇的高峰期是在2019年。據亞信安全《2019威脅態勢分析》,2019年中國勒索病感染量為全球榜首,占比達20%。
老沈記得,當時(防護)措施都做完了,所以沒中招。但2021年12月,在勒索病影響力似乎式微的時候,我們卻中招了。
據他猜測,這次出現問題的原因可能是安全服務軟件到期。12月上旬時,我們的安全服務軟件服務到期,本準備1月進行服務器遷移才續費。但這半個月時間,由于防火墻特征庫到期,給了黑客可乘之機。
這意味什么?打個比方,黑客是小偷,到我們公司偷東西。我們大門的管理以前是謹慎小心的,會經常換鎖,小偷來我們公司門口轉,尋找機會下手,但鎖經常沒兩天就換了,很難很快匹配到合適鑰匙。漸漸地,小偷失去興趣。但直到鎖出現連著十幾二十天不換的情況,小偷因此有足夠時間配鑰匙。
那么,勒索病是怎么碰巧盯上我們的呢?老沈懷疑是有人使用公司網絡挖礦,或者有人無意間把外面的病帶到公司,抑或是黑客“廣撒網”的結果……總之,各種可能性都存在,難以確定。
——一般來說,遠程桌面、網頁掛馬、激活/破解、僵尸網絡、數據庫弱口令、漏洞、釣魚郵件等都是勒索病進攻的常見方式。
不得不提的是,多個信號提醒我們勒索病頗有卷土重來之勢。近一年就發生多起巨頭企業與重要國家機構出現勒索病事件,很是轟動。
比如,2021年5月,美國最大的成品油管道運營商Colonial Pipeline遭遇勒索病攻擊,其向美國東部沿海主要城市輸送油氣的管道系統因此下線,此事甚至引發美國總統關注。
此外,在2021年,還出現華盛頓特區大都會警察局、石油巨頭皇家殼牌、全球IT咨詢巨頭埃森哲、臺灣存儲組件制造商ADATA、厄瓜多爾國營電信運營商CNT等遭遇勒索病攻擊,大量文件泄露和被竊取。
據360安全大腦《2021年勒索病疫情分析報告》,2021年超4000位用戶遭遇勒索病的攻擊,高于2020年的超3700位,其中10月—12月是高峰期。?
其中,值得警惕的是,據美國國土安全部長去年5月的演講提到,勒索病攻擊的50—70%的對象都是中小企業,2020年總計造3.5億美元損失。而思科去年10月發布的調查顯示,42%的中國區中小企業在過去一年遭遇網絡攻擊,41%的企業相關損失超50萬美元。
5萬塊的教訓與經驗
12月15日,我們被迫找了杭州一家安全服務商,由對方全權解決此事,花費5萬塊。
這5萬塊,可以支付三次以上勒索病攻擊的費用,相當于一套安全軟件的費用,一個可以用三五年的防火墻特征庫也是差不多的價錢。
3天后,基本解決了問題。12月20日上午10點,OA恢復使用。
具體到這家公司是如何解決問題的,老沈并不知情。“也許交了贖金,也許沒有,也許弄清楚了勒索病的版本,找到了解密工具。”老沈說道。
關鍵在于未來的防護,除了保障安全服務軟件全天候運行,老沈強調還會“加強備份”。比如,財務數據以前是財務部門管理,只做本地備份,現在由老沈自己管,已經做了好幾份備份。
值得一提,據彭博社報道,上述提到的Colonial Pipeline雖然支付了贖金,但黑客解密過慢,最后還是依靠備份數據恢復系統的。
此外,8月份,埃森哲遭遇勒索病后,黑客聲稱“從埃森哲竊取了6TB的數據,并要求支付5000萬美元的贖金”,但埃森哲回應:“在事件發生后立即控制并隔離了受影響的服務器,并從備份中完全恢復了受影響的系統。”也就是說,備份數據可以較大程度避免損失。
總結來說,勒索病之所以猖獗,一個重要原因是:制作者常常利用比特幣支付的“匿名性”特點,逃脫追蹤。
但是好的開始是:如今國內存在不少與病制造者沆瀣一氣的數據解密、恢復公司,它們承擔著渠道商的作用,比如替病制作者分發病,利用國內企業不方便購買比特幣代替交易等。
參與的人多了,犯錯的機會也就多了。在上述“凈網2020”專項行動案例中,破案的關鍵在于,借助與病制作者有直接合作關系的數據恢復公司這一線索抓住了背后的病制作者。
在近一個月時間里,比特幣出現閃崩,一度跌到3.3萬美元,為近半年時間的最低價。這對“勒索病產業鏈”的利益獲得者也會是一個打擊。
最后強調的是,我們不建議支付贖金,如迫不得已,可以嘗試“討價還價”。
至少有一個例子可以說明這一可能性:據媒體報道,2017年5月14日,臺灣網友陳子聰中了勒索病,為此他發郵件向黑客“求情”:“我月收入400美元,要這樣對我嗎?”結果對方回應:“我們明顯高估了你們的收入。所以你不用支付任何費用。待會系統將會幫你的計算機解鎖。”
?文 / 巴九靈(微信公眾號:吳曉波頻道)
近幾日加密市場連續下跌,據Coinglass數據顯示,過去三天,由于追加保證金,超過 15 億美元的比特幣交易頭寸被清算.
1900/1/1 0:00:00NFT,區塊鏈的產物之一。區塊鏈是個極度推崇去中心化的技術,然而近期卻發生了用戶因為不滿NFT市場的中心化而發起了一個號召,讓人們關注到了NFT市場的中心化問題.
1900/1/1 0:00:00本文由公號"老雅痞"(laoyapicom)授權轉載2021年將作為NFT 元年載入史冊.
1900/1/1 0:00:00騰訊已經想好怎么玩元宇宙了。2022年新年將至,騰訊一口氣更新了七八個產品和項目,全部指向NFT。據虎嗅觀察,騰訊的六個事業部幾乎全部參與NFT的構建和推廣中.
1900/1/1 0:00:00這篇文章是由 Polkadot 聯合創始人 Robert 發布的關于 Polkadot 分片和經濟安全的技術文章,原文篇幅較長.
1900/1/1 0:00:00科技的發展,消解了年味,也開始改變過年的方式。節日是個純意識的范疇,自帶主觀色彩,這種純文化形態天然適合元宇宙相對虛無的環境.
1900/1/1 0:00:00