解密“高科技”勒索软件产业-你以为你支付的就是你支付的？

勒索软件攻击对于企业和执法机构来说，绝对是一个噩耗。但可笑的是，两家美国数据恢复公司声称自己有办法帮用户恢复数据，但实际上他们通常是在收了客户的费用之后，直接向攻击者支付赎金…

2015年到2018年间，一种名叫SamSam的勒索软件席卷了北美和英国的大量计算机系统，并导致了大范围的计算机网络瘫痪，而此次攻击给至少200个实体造成了3000多万美元的经济损失。其中，受影响的城市和地区包括亚特兰大、纽瓦克、新泽西、圣地亚哥港以及洛杉矶等等。在此次攻击中，亚特兰大的在线供水服务系统以及计费系统被迫下线，并进一步导致全国的医疗预约和病患治疗记录无法正常查询。如果想要立即恢复所有文件或者服务的话，网络攻击这至少要收取600万美元的赎金。

在去年11月的一次新闻发布会上，时任美国司法部副总检察长的Rod Rosenstein对外宣布：“美国司法部将以欺诈罪起诉两名伊朗男子，并指控他们涉嫌计划并发动网络勒索攻击。因为SamSam的很多攻击目标都是需要执行生命拯救任务的公共机构，而他们的网络攻击行为削弱了这些机构为病人和患者提供医疗保障的能力，而且还会给无辜的人民带来严重的影响。”

在整个过程中，有一家名叫Proven Data的安全数据恢复公司表示，他们可以帮助用户恢复他们的数据。但可笑的是，该公司一位前雇员（Jonathan Storfer）表示，在公司开展这项业务的一年多时间里，公司经常向SamSam的攻击者支付赎金。

尽管比特币的最大“噱头”就是其交易匿名性且难以追踪，但我们还是追踪到了四笔相关的支付款项。根据比特币追踪公司ChainAnalysis提供的分析报告，该公司在2017年至2018年间，从他们的在线钱包多次给攻击者指定的钱包地址支付过比特币，而且还使用了多达12个不同的比特币地址进行洗钱活动，最终到达伊朗黑客的手上。有关人士认为，如果勒索软件是在给恐怖主义或网络犯罪组织提供金钱资助的话，那合法的安全技术公司也在做同样的事情，这不是太可怕了吗？

该公司之前的客户也表示，这家公司承诺使用“最新技术”来帮助客户恢复他们的数据，但事实却恰恰相反，这家公司相当于从用户那里收钱，然后再拿出一部分来进行赎金支付，这简直是赤裸裸的“中间商赚差价”。

除此之外，美国佛罗里达州另一家名叫MonsterCloud的公司也声称自己拥有最新的数据恢复技术，这家公司与Proven Data非常相似，他们都会向受害者收取巨额的“数据恢复“费用，而且还提供了类似漏洞修复这样的服务来“保护”用户以后不再受到此类攻击。值得一提的是，这两家公司在与目标用户进行沟通时，员工使用的都是化名，而并没有使用真实姓名。

实际上，对于受到勒索软件攻击的个人、企业或是其他社会机构来说，他们其实没有太多的选择，因此将会导致大量纳税人的钱最终落入网络犯罪分子的手中。

番外篇

勒索软件（ransomware）是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

跟Proven Data以及MonsterCloud相反，比如说美国康涅狄格的一家名叫Coveware的公司，他们愿意公开帮助客户通过付费攻击来重新获取计算机的访问权，他们愿意帮助那些想支付赎金但又不知如何交易比特币或者不想与攻击者直接联系的受害者。同时Coveware的首席执行官Bill Siegel也表示，他们会协助执法人员或安全研究人员收集数据，并共同阻止网络犯罪。

Siegel在接受采访时表示：“Proven Data和MonsterCloud这种公司完全相当于是帮助网络犯罪分子收缴赎金的公司，他们嘴巴上声称自己可以帮助用户解密数据并无需向攻击者支付费用，但这很明显利用的是勒索软件受害者的“悲伤”情绪。虽然这种所谓的“数据恢复”方式并不违法，但这毫无疑问相当于是中间商在“趁火打劫”。”

MonsterCloud的首席执行官ZoharPinhasi表示，他们公司会根据具体情况来制定数据恢复方案，他们不会误导客户，也不会承诺一定去使用某种特定的数据恢复方法，但是他不愿意讨论具体的实施细节，因为他说这是他们的商业机密。

ZoharPinhasi说到：“我们拥有非常高的数据恢复率，这是因为我们知道攻击者是谁，以及他们所使用的典型攻击操作手法。那些遭受了勒索软件攻击的用户不应该自己去接触网络犯罪分子并支付赎金，因为他们不知道自己在跟谁打交道，而且很多用户即使自己支付了赎金，他们的数据也不一定能拿得回来。我们的任务就是确保客户能够拿回自己的数据，确保他们的文件得以恢复，但是大多数勒索软件所使用的加密算法过于强大，无法破解，所以某些情况下我们不得不使用一些特殊的方法。”

但是美国的执法部门却持有不同的观点，虽然美国法律没有说不给用户支付赎金，而且美国联邦调查局对此也是“睁一只眼闭一只眼”。但是他们认为，这种行为相当于在“鼓励”持续性的网络犯罪活动，并有可能导致更加严重的网络犯罪发生。而且，前美国联邦贸易委员会的代理主席Maureen Ohlhausen表示，MonsterCloud和Proven Data的行为属于欺诈性商业行为。除此之外，这些公司不仅向SamSam的攻击者支付了赎金，而且他们很有可能还建立了互惠关系。

当然了，我们也愿意去相信这些网络科技公司或安全公司是在努力去阻止相关攻击事件的发生，或者是真的想要保护用户的安全，而且对于有些用户来说，只要他们能拿回自己的数据，你到底用的是什么方法其实他们并不在乎。

根据美国国土安全部的最新统计数据，自2016年以来，美国地区每天会发生4000多起勒索软件攻击事件，每年大约有150万起。毫无疑问，勒索软件将继续在全球范围内传播，而且受感染设备的类型也在逐渐呈现多样化趋势。我们将会看到不同种类的勒索软件使用不同的部署和传播方法来进行攻击，而且它将成为网络犯罪的头号威胁之一。