案例背景
重庆某大型医药连锁企业一次网络安全事故中不幸感染了一款后缀名为ownerd的勒索病毒。该病毒加密了公司的ERP服务器内全部数据。服务器内部大量的财务报表、客户资料和项目文件。被加密后的文件截图如下
Read-for-recovery.txt 勒索信打开如下图
恢复方案:交付赎金
该病毒加密算法并不是太复杂,并且客户需要恢复的是MSSQL的数据库。虽然数据库较多,个别数据库也比较大,若是计算资源充足应该可以在1天内完成数据库的恢复。但是这种方式会有部分数据缺失,无法达到数据库100%完整破解,恢复的完整度应该在98%左右。
在确定具体那种恢复方案时客户已经同步在跟黑客进行邮件沟通确认赎金金额恢复以及恢复时间。黑客要求支付的赎金金额为5000美金,折算成等价的比特币支付。黑客也承诺支付赎金后立刻给解密工具。(其实在未支付费用前黑客说的能快速给解密工具的话根本不可信,在我们遇到的交付赎金的案例中极少有黑客能在自己承诺时间内给解密工具的,一般能在支付赎金后一天内给解密工具都已经谢天谢地了。)
经过客户管理层综合评估恢复时间和恢复的完整度。并且赎金金额不算很高,在他们能承受范围内,客户最终选择支付赎金。
---------------------------------------此处省略买比特币支付比特币的过程--------------------------------------
赎金支付完毕后,对方回复英文邮件大体意思:必须等待制作钥匙的管理员上线才能制作钥匙,一旦钥匙制作完成就会发送
到这时候客户心里已经有点慌了,害怕黑客不给解密工具或者再次以各种理由索要更多钱。焦虑不安的等待了一个晚上,频繁的刷新着邮箱的收件箱,迟迟没有收到解密工具。中途写过两三封邮件催要,对方没有任何回复。这时候客户心情更加着急,但比特币已经付出去了,不可能再退回来。所以也只能等。
第二天下午大约5点钟左右,黑客回复了邮件,邮件内容很客气的写道“抱歉让你等了这么就,解密工具下载地址......” 客户心里一顿狂喜 对黑客赞不绝口“盗亦有道”的高级词汇都用上了。
解密失败:销声匿迹
因为客户购买了我们的技术支持服务,所以拿到解密工具后,在解密之前我们先对所有数据进行了一份备份,这是所有解密的前提。一旦解密失败或者解密过程中有任何突发情况,至少有一份最原始的被加密备份都会让你有路可退。
数据备份完毕后,我们开始在备用环境中进行解密。解密程序极其简单如下图
点击decrypt后整台服务器500多G数据大约20分钟就解密完毕了,其中包括图片附件,数据库以及各类备份文件和压缩包。看到这个解密速度我们心里就有点紧张了,因为按照正常原理这么大量的数据不可能这么快时间解密完成。即使是部分字节加密,对于图片附件等也是全字节加密。这种一定会比较耗费时间, 所以我们怀疑这个解密可能有问题的。
解密完成后我们先检测了一些图片附件文件。其中有大约30%是解密开了,但是超过70%仍然是损坏无法使用的。附件损坏就损坏吧,影响不是太大。最主要是数据库文件。我们建立了模拟环境并附加测试。数据库附件正常,我们接着对数据库进行了dbcc checkdb完整性一致性校验。如下图
依次逐一检查所有数据库,都是可以附件,检测全部报错。都是页撕裂错误,这种错误我们在数据库恢复案例中处理过很多,很明显就是有数据页数据错误。我们任意挑选了一个库确定数据页之后检查数据页发现数据确实是错误的,也就是说黑客给的解密工具是有问题的。
这时候客户委托我们全权代理跟黑客沟通,看看是不是给错了,我们对黑客的解密程序也进行了逆向并成功提取了钥匙,通过对加密算法的分析和钥匙的比对,确定钥匙是给对了,只是黑客的加密程序bug导致大量数据被加密混乱,也就是很多数据被加密了三层。我们向黑客说明来意并用技术手段说明了整个过程要求对方退款。对方承诺会帮忙解决问题,但是退款是不可能的。发完这封邮件后黑客也就没有再回复过任何邮件了。 5000美金白白打了水漂。
手工提取:不完美中的完美方案
因为这个客户最重要的是数据库文件,并且该黑客加密技术一般,所以最终客户在我们的技术支持下成功恢复了核心数据库,业务已经恢复正常。跟大家分享这个案例的目的主要是想告诉大家,如果中了勒索病毒,能不支付赎金就不要支付,真的没有办法的情况下也要找经验丰富的安全专家协助解决,不要天真的认为所有的黑客都是有道义的。
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
