神操作！号称专治勒索病毒的公司，其实偷偷给黑客交赎金……

（给程序员的那些事加星标）

原创：程序员的那些事（id：iProgrammer）

0、什么是勒索软件/勒索病毒？

勒索软件/勒索病毒（英文名 Ransomware）是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。

这种病毒利用各种加密算法对文件进行加密，被感染的电脑一般无法解密，必须拿到解密的私钥才有可能破解。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

2107 年 5 月 13 日，英国、意大利、俄罗斯等多个国家爆发?WannaCry 勒索病毒攻击，中国国内校园网也出现大面积感染。

中毒后的电脑，会有这样的勒索信：

WannaCry 勒索病毒，详情见 2017 年的旧文：《全球爆发计算机勒索病毒》和 《意外阻止了勒索病毒的全球攻击，我是如何做到的》。

1、号称专治勒索病毒的公司，

其实暗地里给黑客交赎金

2019 年 5 月 15 日，外媒 ProPublica 披露了两家号称提供勒索病毒解决方案的??数据恢复公司，其实是在欺骗/忽悠勒索病毒的受害者。

（英国知名媒体《卫报》也曾发过该报道）

这两公司分别是 Proven Data 和 MonsterCloud。它们所谓的解决方案，其实就是向攻击者支付赎金，然后向受害者收取更多的费用。

6 月 27 日，反病毒软件供应商 EmiSoft 在官博发文，揭露了另外一家在做同样勾当的英国公司 ——?Red Mosquito（红蚊）数据恢复公司。

EmiSoft 的主管 Fabian Wosar 设了一个圈套，发现了红蚊的解决方案，其实和前面 2 个美国公司一样一样的。

红蚊官网自称一站式数据恢复和咨询服务，在过去一年处理了全球数百起勒索软件案件。它最近还在发布广告称，其“国际服务”提供“诚实、免费建议的专家”。

红蚊公司表示，它提供了支付赎金的“专业替代方案”，但还警告称，“支付赎金可能是让文件解密的唯一可行选择。”?它补充说，“不建议直接与罪犯谈判，因为这会进一步危害安全。”??

（啧啧啧，红蚊的文字游戏玩的飞起！不让勒索病毒的受害者去联系攻击者，原来是自己去联系交赎金，然后赚差价。）

2、Fabian Wosar 是怎么样设套的？

Wosar 做了一个假的勒索软件，命名为“GOTCHA”。他还起草了一封勒索信，上面写满了诸如“马上”之类的拼写错误，以确保真实性，因为许多攻击者不是以英语为母语的人。

和许多真实的勒索软件一样，Wosar 做的假勒索软件也包含一个独特的 ID 序列，并指示受害者在回复中使用。有了 ID 序列，就可以知道哪个受害者在付钱。

Wosar 一边扮演了发动攻击的黑客，一边扮演了勒索软件的受害者。

他用 Joe Mess 化名，假扮是受害者，向联系红蚊求助邮件。

没多久，有个化名 Conor Lairg 的人用红蚊公司的邮箱，回复 Joe Mess，表示「我非常有信心，我们可以帮你找回文件。我们正在测试，会尽快和你联系的。」

随后，Wosar 另外假扮攻击者的邮箱，收到了一封包含受害者专属的 ID 序列。这就说明，发邮件的人，不是红蚊公司的人，就是红蚊员工把 ID 共享了。

红蚊把赎金砍到了 900 美元，但向?Joe Mess?收取的费用却是 3950 美元。也就是说，红蚊向客户收取的费用，至少是实际赎金的 4 倍。

在被曝光之后，红蚊从官网上删除了部分声明，包括将“诚实免费的建议”改为“免费的建议”。

Wosar 表示，「勒索软件受害者需要知道，要恢复他们的数据，没有什么灵丹妙药。对于一家数据恢复公司来说，只要他们公开透明，支付赎金也没有什么丢人的。」

3、如何预防勒索病毒？

简单来说：

• 重要文档，定期备份；

• 对来路不明的电子邮件、网站和应用保持警惕；

• 使用防病毒程序；

• 不断更新软件补丁；

• 永不支付赎金；
  

详细解释，请参考之前的推文《全球爆发计算机勒索病毒（包含应急防范措施）》。

往期热文（点击图片即可阅读）

关注「程序员的那些事」加星标，不错过圈内事

圈内事，我在看?

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/