返回新闻列表

拒绝勒索软件:执法机关和IT安全公司协力打击勒索软件

        一种包含超过160,000个解密密匙的最新工具将帮助受害者恢复自己的数据。

       今天,荷兰警方、欧洲刑警组织、Intel Security和卡巴斯基实验室联合启动了一项被称为拒绝勒索软件的倡议行动,标志着执法机关和私营企业之间合作打击勒索软件行动迈出了最新的一步。No More Ransom(拒绝勒索软件www.nomoreransom.org)是一个全新的在线门户网站,目的是为公众提供有关勒索软件的信息,帮助受害者在无需向网络罪犯支付赎金的前提下,恢复自己被加密的数据。

       勒索软件是一种能够锁定受害者计算机,或者加密用户数据的恶意软件,之后会要求受害者支付赎金,从而重新获取受影响设备的控制权限或恢复被加密的文件。对欧盟执法机关来说,勒索软件是一种头号威胁。约有三分之二的欧盟成员国正在对这种形式的恶意软件攻击进行调查。这种恶意软件的目标通常是个人用户的设备、企业甚至政府部门的网络同样遭受影响。受害者的数量正在以惊人地速度增长:根据卡巴斯基实验室统计,遭受加密勒索软件攻击的用户数量增长了550%,从2014至2015年间的131,000名用户增长到2015至2016年间的718,000名用户。

NoMoreRansom.org

       在线门户网站www.nomoreransom.org的目的是为勒索软件受害者提供有用的在线资源。用户可以通过这个网站了解勒索软件是什么,勒索软件的原理如何,更为重要的是,了解如何保护自己。安全意识非常重要,因为目前并非针对所有的勒索软件都有解密工具。如果你被这种恶意软件感染,那你的数据永远丢失的可能性非常高。遵循一系列简单的网络安全建议,规范地使用互联网,有助于从根本上避免被这种恶意软件感染。

       这一项目为用户提供解密工具,一旦用户的数据被网络罪犯加密,用户可以利用这些工具解密自己的数据。在初始阶段,该门户网站包含四款针对不同类型恶意软件的解密工具,其中最新发布的是于2016年6月开发的针对Shade勒索软件变种的解密软件。

       Shade是一种勒索软件木马,最早于2014年末出现。这种恶意软件通过恶意网站和受干扰的电子邮件附件进行传播。一旦入侵用户系统,Shade恶意软件会对计算机上存储的文件进行加密,并且创建.txt文件,其中包含勒索信息和指导信息,告知用户如何做才能够找回自己的文件。针对每个加密文件,Shade都使用了高强度解密算法,并且生成了两个随机的256位AES密匙:其中一个用于加密文件内容,另一个用户加密文件名称。

       从2014年开始,卡巴斯基实验室和Intel Security共拦截了超过27,000次Shade木马试图攻击用户的行为。大多数感染都发生在俄罗斯、乌克兰、德国、匈牙利和哈萨克斯坦。此外,我们还在法国、捷克、意大利和美国发现Shade木马的活动情况。

       通过与不同的组织紧密合作和共享信息,执法机关成功控制了网络罪犯存储密匙的Shade命令和控制服务器,并且将发现的密匙同卡巴斯基实验室和Intel Security分享。利用这些密匙,制作了特殊的解密工具。受害者可以从拒绝勒索软件门户网站下载这些工具,恢复自己的数据而无需向网络罪犯支付赎金。这些解密工具中包含超过160,000个密匙。

公私合作

       该项目预期为一项非商业倡议行动,目的是让公共机构和私营机构合作。由于勒索软件在不断变化,网络罪犯会定期开发最新的恶意软件变种,所以我们的门户网站随时向新的合作伙伴加盟敞开大门。

       荷兰国家警察局的国家犯罪调查处负责人Wilbert Paulissen说:“荷兰警方无法独自打击网络犯罪,尤其是无法独自打击勒索软件犯罪。这项工作是警方、司法部门、欧洲刑警组织和IT安全公司的共同职责,需要多方的共同努力。所以,对于警方同Intel Security和卡巴斯基实验室的合作,我感到非常高兴。我们将竭尽所能阻止网络罪犯的赚钱计划,将被加密的文件返还给受害者,让受害者无需向网络罪犯支付赎金。”

       “加密勒索软件目前所带来的最大问题是一旦用户珍贵的数据被锁定,用户会很爽快地向网络罪犯支付赎金,以找回文件。这种做法加速了这种地下产业的发展,导致从事勒索软件业务的网络罪犯数量增多,攻击数量也增多。只有齐心协力打击勒索软件,这种情况才会有所转变。而解密工具的出现,正是我们前进道路上的第一步。我们希望这一项目能够持续拓展,吸引全球更多国家和地区的公司和执法机关加入,共同对抗勒索软件,”卡巴斯基实验室全球研究和分析团队安全研究员Jornt van der Wiel说。

       “这项倡议行动显示了公私合作在采取对抗网络犯罪行动时所展现的价值,”Intel Security公司的EMEA区首席技术官Raj Samani说:“这种合作已经不仅仅是分享情报、进行消费者教育以及打击网络犯罪,而且能够真正帮助受害者修复危害和损失。通过恢复对系统的访问,我们能够让用户了解到自己可以采取行动来恢复损失,并且要拒绝网络罪犯提出的赎金要求。

       欧洲刑警组织行动副局长Wil van Gemert最后说:“在过去几年,勒索软件一直是欧洲执法机关所面临的一项难题。这一问题影响到普通公民和企业,影响的设备包括计算机和移动设备。网络罪犯会不断开发更为复杂的技术,给受害者的数据造成更严重的危害。拒绝勒索软件这样的项目显示,联合专业技术和力量是成功对抗网络犯罪的关键。我们希望帮助更多人恢复自己的文件,同时提升用户的安全意识,让用户了解如何避免让自己的设备感染恶意软件。”

总是上报

       将勒索软件信息上报给执法机关非常重要,因为这样做有助于执法机关更为清晰地了解威胁整体情况,采取更有效的措施对抗这些威胁。No More Ransom(拒绝勒索软件)网站为受害者提供了上报网络犯罪的机会,直接同欧洲刑警组织的网络犯罪上报机制相连。

       如果你成为了勒索软件的受害者,我们建议你不要支付赎金。一旦你支付赎金,就相当于支持了网络犯罪的业务。此外,即使你支付了赎金,也不能保证一定能够恢复被加密的数据。