与大多数恶意软件不同的是,勒索软件并不是隐形的。如果你被感染了,攻击者会毫不含糊地告诉你。毕竟,他们希望得到报酬。
“你的个人文件被加密了,”电脑上的信息发出刺耳的声音。“您的文档、照片、数据库和其他重要文件都经过了最强大的加密和唯一的密钥加密,这些密钥都是为这台计算机生成的。虽然使用的语言可能不同,但大意是一样的:如果你不支付赎金——通常是在48到72小时内——你的文件就会被销毁。
还是他们?行凶者很有可能是在试图欺骗你,而且文件还没有加密。行业专家表示,虽然这种情况并不常见,但确实会发生。你可以绕过这些可怕的虚假信息,继续你的生活,而不是付钱。
“有很多例子表明,真正的加密并没有发生。相反,网络犯罪分子依靠攻击的社会工程优势来说服人们付钱,”Webroot的安全情报总监格雷森·米尔伯恩警告说。
这是真的还是假的?
只需几秒钟就能确认这是一种真正的感染,还是一种社会工程骗局。
如果赎金要求包括勒索软件的名称,那么就没有什么神秘的,你就有麻烦了。识别自己的勒索软件家族包括Linux。Encoder——第一个基于linux的勒索软件——上面清楚地写着“用Linux.Encoder加密”。coinault通过列出支持邮件地址来识别自己。TeslaCrypt和CTB-Locker也属于著名的勒索软件家族,它们会告诉你是谁将你的文件作为人质。
+相关:如何应对勒索软件威胁+
但是,有很多关于赎金的游戏并不在乎名字。例如,CryptoLocker只是简单地警告说,您的文件已经被加密,并且从未炫耀过它的名字。相反,你必须寻找其他线索:是否有一个支持电子邮件地址?在互联网上搜索比特币支付地址或实际的赎金信息,看看论坛上或安全研究人员会出现什么。
如果你不能识别勒索软件,那么它就有可能是假的。在这种情况下,你的文件实际上并没有加密;攻击者只是弹出一个可怕的消息并锁定屏幕。赎金要求通常显示在浏览器窗口中,不让用户离开,或者锁定屏幕并显示一个要求加密密钥的对话框。因为受害者无法关闭信息,所以它看起来是真实的。
如果可以使用关键命令关闭屏幕,比如Windows上的Alt-F4和Mac OS X上的Command-W,那么赎金要求就是假的。或者尝试强制重启设备,看看消息是否消失。
勒索软件倾向于在加密过程中更改文件名。Locky向所有文档添加.lock文件扩展名,而CryptXXX使用.crypt文件扩展名。查看这些文件,看看哪些文件已被修改。看看是否仍然可以打开它们,或者是否可以更改文件扩展名并打开文件。有时候,文件扩展名在没有加密文件的情况下就被更改了。
使用Linux Live CD回到系统中,并在系统中搜索,查看实际文件是否已被移动或重命名。大多数现代操作系统都可以搜索文件的内容和文件名。
不要期望太高
虽然持怀疑态度是件好事,但如果你看到有人索要赎金,那很可能是合法的。由于犯罪软件套件预装勒索软件和勒索软件作为一种服务,进入门槛低得多。脚本kiddy和其他技术含量不高的犯罪分子正试图利用真正的勒索软件团伙的成功,而不付出任何努力。
Mimecast的网络安全策略师奥兰多•斯科特-考利(Orlando Scott-Cowley)表示:“从犯罪即服务提供商那里购买加密恶意软件的简单性,意味着网络犯罪分子可以很容易地部署勒索软件攻击,利用复杂而有效的加密攻击目标。”
勒索软件感染是一种严重的威胁,虚假攻击相对较少。但是在你开始重建你的机器以从勒索病毒感染中恢复之前,确保你没有被骗。只需要几分钟。
如果事实证明你是被真枪实弹的东西伤害了,你可能还有另一个渺茫的机会:公开可用的解密工具。
这个故事,“如何判断你是否被虚假勒索软件攻击”最初发表于信息世界 。