page-button
page-button
.....
1 / 26
page-button
page-button

中了勒索病毒(Ransomware),支付贖金成功解密過程~圖文說明

2017-05-05 18:50
大家好~

這是小魯第二次發文,因為這幾天中了正夯的勒索病毒,跟對方談了條件

條件是我請求降低贖金並讓我解密成功,我將發文到台灣網站討論區證明付款後是可能成功解決的

對方的確有誠信,因為對方真的調到了我要求的金額,所以我馬上付款了

然後履行承諾撰寫文章,誠信問題,不寫怕再度被對方攻擊,所以不得不為

而我很懶得重灌電腦,也許大家都已知道中毒會如何,這邊還是簡單說明下

中毒後電腦可能所有的文字文件、圖片、word、PDF、影片等全部都會被加密無法開啟

出現亂碼之類,微軟的內建自動修復文件是沒用的..沒在期限內付款給對方取得解密程式

檔案可能就永久沒救了,大家中了第一時間可能會想說自己找網路上的解密程式

亂槍打鳥看會不會成功..這的確是一個方法,不過目前中毒應該都新型的居多

本魯就是花了不少時間嘗試..最後發現都徒勞無功..成功率太低了

硬碟資料救援的也問過..新型勒索病毒基本上無解..也是請你自己跟對方談

最後就就決定寫信跟對方周旋看看,網路上的文章都說不要去付款,我想這邊就自己衡量

有些檔案價值很難以金錢計算,付款後解毒的機會還是比其他方式高的多

網路上一些來歷不明的解密程式下載來用大家難道都不會怕嗎

以下圖文說明經過並教導如何付款支付比特幣(Bitcoin,符號BTC)給對方

我中的勒索病毒應該是比較新型的,請看下方圖片,不論您勒索視窗是否跟我一樣,都可參考看看

時間經過:
5/3
當天早上開機發現桌面圖片檔開不起來..寫已毀損,文字文件打開是亂碼
看檔案名稱跟副檔名完全正常,沒被變動,5/1晚上關機時都還正常,重開機也沒用..
下午拿電腦去給維修的檢查,說是中毒,但不確定是哪種病毒
後來去了另一家維修的,檢查了一些時間,勒索視窗在此時跳了出來,確定是勒索病毒了..
看視窗老闆說是新型的,目前除了與對方交涉付款外,應該無解
這時想說回家上網找看有沒其他解密可能
如圖


在此順便解說關於視窗給的訊息,請先看大視窗左方最上面Deadline是付款期限
這意味著若沒在期限內支付所需款項,被加密的檔案可能永遠無法解密
Time left是剩餘時間的倒數,明確顯示還剩多少時間可考慮
Received是目前對方已確認收到的比特幣BTC,You have to pay就是此次必須付款的比特幣總額
中間英數字一長串是要付款給對方比特幣的收款位置
圖片右方小視窗是聯絡對方的e-mail,下面是寄信給對方要打的專屬標題,標題每個人都會不同
按主畫面To see...最後的click here就會出現小視窗

5/4
5/3晚上看到文章說有人跟對方殺價成功降低付款金額,又看到有人說付款後解密不能成功
甚至被要求再支付更多贖金等,因為我也擔心付款後被騙,所以當下決定先寄信詢問看看
就在過12點(5/4凌晨)我寄了第一封信給對方
詢問他們為何有文章說付款後仍沒取得解密程式跟是否能降低我所需付的金額
寄完信後我就去睡了

5/4白天到下午上網觀看各討論文章跟嘗試一些解密程式
有些非正規網站上別人的解密程式怕也有毒雖然花不少時間一直尋找
但實際下載執行使用的程式不算多,台灣某防毒公司的解密程式也用過都無法解密
打電話詢問工程師說新型還需要時間研究,無法保證未來一定能解,此時感覺機會渺茫了...
就在下午6點多時收到了對方的回信,回信間隔十多個小時,本來想說對方是不會回了
大概不給殺價,以下是對方回應原文,他引述了我的問題,然後回答,紅框處是對方的回答


關於付款後檔案拿不到解密檔,對方回應大概有兩種可能
第一種是不想讓他們收款的"反毒人士"故意寫文章造謠
第二種情況是跟他們自動確認款項程式有關,確認進行比他們想像中還要慢
有些人付款後遲遲沒拿到解密程式,寫信給他們,對方手動確認款項後幫他們處理
有些人付款後解密程式是在數小時後自動啟動的
另外是否有可能解密程式正常啟動運作完畢,檔案仍沒被解開,對方是沒特別說明是否會有這情況
最後是回答我殺價問題,他們同意了!!
價格降到了0.145BTC,原本是0.345BTC,他們說亞洲區電腦都有同步調降,不知是不是真的@@
另外他們有說他們高估了亞洲人的平均收入XDD
我看到我的視窗價格的確變成了0.145BTC,我是先看到視窗降價才收到他們回信的
我本來以為期限快到會自動降價,看到他們真的會回信且還調降價格,我有點心動
但換算一下台幣對於我的檔案來說..金額還是太高
比較重要的那個檔案我已經有用他們程式的免費試用解密取回了..
免費解密試用在視窗最下方Also we can..
點擊"decrypt one file"可以免費幫解密一個3MB以下的檔案
證明他們的程式真的可以解,其他檔案雖然沒有到非常重要,但也算重要的
對我來說只解開一個真的不夠,下方是降到0.145BTC的圖片


看到他們回信我考慮了許久,決定再跟他們殺價且我附帶了一個條件
我詢問是否能降到我指定的金額0.02BTC
如他們同意且我成功解密檔案將會寫文章到台灣網站說對方沒有違反承諾,付款後是真的可能解決的
以下圖片是他們回應..


此時我已經看到視窗畫面價格真的降到了0.02BTC,如圖


都依照我要求調降了,想說就賭看看
我上網註冊了BitoEx這網站,因為可以全家超商現金付款,註冊後就到全家超商付款
回家再上網站兌換比特幣,BitoEx是一個電子錢包媒介
用台幣儲值後可以在網站上兌換比特幣來支付,支付的大概流程我寫在文章最後
付款比特幣後我還有再寄信給對方說已經付款了,過不久看到Received那欄變成Verifying
變成Verifying字樣的圖我沒截到,過了數分鐘勒索視窗變成了解密的視窗畫面,如圖


視窗說我們已經收到款項,現在開始來解密檔案,旁邊add按鈕可以新增要解密的檔案
不能指定資料夾,只能指定單一檔,會需要用到add是檔案你有移動到其他地方
需要找你移動後的位置指定要解密的檔案,建議中毒如果有打算付贖金解決就不要隨便移動檔案
不然到時忘記移動到哪就解不到了,remove是移除你不想解密的檔案
正常都沒移動到檔案就是直接按下Decrypt!按鈕,就會開始解密所有被加密的檔案
如果有少數檔案你忘記放到哪了,之後要解只能全部再一起解,或是按remove移除解密過的檔
但是檔案很多是不可能一個一個按移除的,只能乖乖重跑一遍,不過有解密過的速度會變快
這程式當你跑過完整到100%再按下Done程式就會自動移除了
只要不按下Done跟電腦存在防毒之類軟體,重新開機過一些時間解密程式會自動跳出來
一樣可以繼續使用,如果你還有檔案沒解到請不要按到Done,只要按下Done程式就自動移除
還有沒解到的檔案對方也幫不了你了,有寄信過問對方,他們說沒有分離的解密程式可以給
就只有付款後跑出的程式,下圖是程式執行中的畫面


程式跑完到100%時如果有原本被加密的檔案沒被解密到會出現提示,我有出現提示,沒截圖到
因為有少數的檔案我忘記移動到哪了,反正不重要就放棄了
程式執行時間會依據被加密的檔案數跟電腦配備決定,我電腦有點舊,大概有2000多個檔案
總共跑了約30分鐘才到100%,另外平常開機有設自動開啟google雲端硬碟跟同步化處理
中毒那時我發現雲端硬碟內的檔案也一起中獎,解密那時開雲端硬碟同步就一起恢復了
有了這次經驗,現在都不敢開雲端硬碟同步了
下圖是程式跑完100%後再按下Done出現的畫面


解密後我還有寄信拜託對方不要再攻擊我電腦了,對方回應如下紅框處內

對方說他們有幾個保護機制可以確保相同電腦不會再中,這我半信半疑
實際不知是怎判別的,先備份重要檔案才是最佳選擇

另外我中毒原因可能是4月2X號上伊莉論壇突然要我更新flash的廣告
因為頁面跟官方有些相像,我當時並沒有馬上下載,有另外連台灣官方網站上去看
結果有提示要更新,但是一直更新不成功,那時發覺官網速度有點慢,最後我點伊莉的下載安裝
後來都沒事,一直到5/3才出現問題,上網看到有人在伊莉中勒索病毒
我想我也是在伊莉中的沒錯

如果勒索畫面跟我是同樣的,我不敢100%保證大家付款就一定能成功解密
這邊只是提供我的案例給大家參考,保證絕無虛假,已經跟對方承諾了我也不得不發文
如果視窗勒索畫面跟我不同也許是不同作者,是否付款真的能解密我也不得而知
不過可以試著先跟對方詢問看看~

這邊列出幾點中勒索病毒後有打算取回檔案要注意的事項
真的想要解密檔案這邊直接以願付贖金說明,不考慮其他渺小的可能!!
1.
中毒後請馬上移除防毒相關軟體,以免這些軟體把勒索付款的程式給移除,請謹慎
被移除就算你事先有記下對方e-mail跟標題和比特幣付款的一長串英數字
但是你付款後解密程式也不會自動跑出來了,對方一樣會收到錢,但沒程式可以給你

2.
盡量不要移動被加密的檔案所在位置,怕你忘記放到哪,到時找不回
也不要修改檔案的任何內容,否則該檔案可能會解密失敗救不回

3.
仔細思考這些檔案您最高願意花多少跟對方贖回,同時準備錢
在最高的範圍內可跟對方周旋降低金額

4.
注意付款期限,超過期限解密金鑰會自動消除,檔案可能永遠救不回

5.
比特幣付款位置是一長串的英數字,絕對要看好不要打錯
有打錯付了錢可能拿不回來,對方也收不到款項
可以利用視窗內的copy來複製,最好再對照一下是否正確

網路上說付款後沒成功解密的無法確定是不是他個人操作問題,失敗有可能只是少數
其實大部分有付贖金的都有成功取回檔案,想想對方食言對他們似乎沒有好處!?
是否花錢贖回請自己衡量,支付比特幣並不難,以下說明支付大概流程
先找可以兌換比特幣的電子錢包網站,國內或國外的網站都可
網路搜尋時看到台灣的然後又可以全家超商付款就用了,國外的可能要用信用卡支付
我用台灣的BitoEX,註冊必須有電子信箱跟手機號碼收認證碼
註冊認證好請先點首頁上方均價,下圖綠框處,然後再點紅色箭頭匯率換算


點匯率換算會出現如下圖,輸入要購買的比特幣,以我為例,輸入0.02比特幣
會換算需要多少台幣,台幣需要多少要記下來,等等去超商付這台幣,這時建議不要付剛好的
因為比特幣匯率每分每秒再變動,所以多付一點比較保險
我直接付了1000台幣,超商付款固定有25元手續費,25元沒計算在這視窗內


只要先查看需付多少台幣就好,再來就是直接去超商付款台幣
詳細到超商後的操作過程就不寫了,怕有打廣告嫌疑,網站內點下如何購買就會有說明
購買後可以直接用手機儲值或用網頁儲值,進帳戶總覽在現金那欄按下買比特幣就能進行兌換
然後一樣回帳戶總覽在比特幣那欄點發送,會出現下方圖片


發送到就是勒索病毒視窗中間有copy按鈕那一排英數字,那是對方的收款位置
然後輸入需要支付的比特幣,確認收款位置正確後就能發送了
發送後寄信給對方應該會確認比較快,不然照勒索畫面所寫大概要等30分鐘
付款後就是等視窗Received那欄變成Verifying,然後視窗最後會變成解密的畫面

不知寫敎大家如何付款適不適合,怕被認為助長犯罪,不過事情既然發生了
當然要找高機率能成功解決的方式比較實在,有時真的要認清事實,除非檔案對你真的不重要
以我的例子也告知大家交涉殺價是有可能的,也許有機會用低價買回珍貴的檔案
雖然我有附帶PO文這條件,不知是不是這原因才讓我砍價,或許用這附帶條件不是很妥當
但當下也怕對方不願意再讓我殺價,不得已只好想說用這條件詢問對方看看
對方真的同意了,我也不得不遵守承諾發文,下方補上一張比特幣交易明細


另外發此文章如果真的不妥當
可以請直覺認為我文章觸犯法律的大大幫我詢問您認識的相關人士嗎
法律相關人士確定不妥我馬上自行刪文..
還有空備份我的文章還說要去哪邊檢舉之類,感覺有點幸災樂禍..
我是以受害者角度寫這篇文章,因為大多數人沒遇到,不知這種痛..
我相信某些檔案的重要性並非金錢可以衡量,也不是說付款後確定對方真的不會幫解密檔案
網路文章說遇到不要付贖金,一昧叫大家不要付款..
然後也沒提供保證能解決的方式,如果我當初真的相信不要付款,檔案現今已離我而去
我發這文章目的是要證明付款是真的可能解決的,提供給其他受害者參考
文章人氣:356,556
2017-05-05 19:18
蓄勢待發 wrote:
大家好~這是小魯第...(恕刪)


非常感謝你如此圖文並茂的心得 !!
非常的受用,對於許多受害者無非是一個非常好的參考經驗。

從對話中可以看出勒索病毒作者是個集團或者多人,因為他們用的是 " We " 這個字來形容自己,
可見絕非是一人所為。

我其實也覺得不應該付款給這些匪徒,姑息他們違法的行為,
但我完全能夠理解有些人檔案的重要性不是幾個比特幣能夠比擬的。

無奈之下大概也是得乖乖付款 ~

這勒索病毒的作者也挺有趣(?)的,確實對於你說的
" 你一旦降價,我就幫你在台灣的論壇上,附上證據幫你說話你是真的 "
對方還回你 " 這是個有趣的提議 "
且竟然還真的同意了



解密完畢還不忘記提醒你
" 感謝您合作 ! 祝您有美好一天 "

看來這歹徒"們" 還挺有禮貌的 .....

====================

解密程式無法分離、解密完畢就自動消失(自殺),
是因為怕被人擷取並且專研,破解出解密的金鑰。

所以正如你所說,即使付款,也只有一次的機會,
切記操作要謹慎。
asd231 #3
2017-05-05 19:31
原來這個也有開箱文,不知道有沒有保固期,三年內如果再中,拿出之前的付款證明,免費解鎖.
2017-05-05 19:33
蓄勢待發 wrote:
這是小魯第二次發文,因為這幾天中了正夯的勒索病毒,跟對方談了條件
條件是我請求降低贖金並讓我解密成功,我將發文到台灣網站討論區證明付款後是可能成功解決的
對方的確有誠信,因為對方真的調到了我要求的金額,所以我馬上付款了
然後履行承諾撰寫文章,誠信問題,不寫怕再度被對方攻擊,所以不得不為


內文『我將發文到台灣網站討論區證明付款後是可能成功解決的

有助長歪風的嫌疑,難道是鼓勵中鏢的人 乖乖商討付錢贖檔案

何不把你手頭的解密檔案或資料公佈出來給大家
neo3p #5
2017-05-05 19:39
那麼代表 ThunderCrypt 的解密工具就在受害者的電腦上.

嗯, 也許可以利用本地端封包驗證方式去啟動 ThunderCrypt 的程式來自行解密.

有搞過遊戲外掛驗證的人, 應該知道我在說什麼 XD

不過, 樓主能殺到 0.02 btc , 就不幸方面來說, 可以了....

就當是...強迫收取你一堂資安備份是很重要的學費吧.
2017-05-05 19:50
0.02 比特幣 是964台幣嗎

如果是的話 我想妥協...........
可是那個畫面
已經被防毒給刪除.....

我是不是要讓它在中一次病毒.......
2017-05-05 20:09

因為有案例說付錢又沒救回檔案
演變成許多人後來還是選擇放棄資料
兩敗俱傷(一邊痛失資料另一邊做白工)
所以「配合服務」的勒索病毒製作團隊想必被「雇主」質疑了吧

不管樓主立意如何
文內看來已經有「鼓勵」受害者付費去解密檔案的感覺
連我都感覺搞勒索病毒真的很好賺了
2017-05-05 20:35
asd231 wrote:
原來這個也有開箱文,不知道有沒有保固期,三年內如果再中,拿出之前的付款證明,免費解鎖


我以前還真的聽聞過類似案例,
就是有個受害者,中了勒索病毒之後只能付贖款妥協,
結果不到兩個月又再度中毒,且竟然還是同一支,
受害者欲哭無淚,寫信去求情,對方還真的有查到受害者曾付過贖金,
所以願意免費幫他在解密一次,還不忘提醒受害者下次記得做好資安防護,
再中獎第三次就沒免費服務了


dodoman007 wrote:
何不把你手頭的解密檔案或資料公佈出來給大家


你可能不清楚勒索病毒的運作方式吧 ~
其實每次勒索病毒綁架一個人的檔案,都會產生一組私人金鑰(Private Key),
這組金鑰是每個人獨有的,換句話說世上沒有使用同樣一組金鑰的加密檔案。

也因此即使是 防毒軟體廠商,或者樓主千方百計的複製出解密時用的 Private Key,
也沒辦法用在其他受害人的檔案上。

這就是為什麼從來沒聽過有受害人團購解密程式的,你說對吧 ?

dodoman007 wrote:
有助長歪風的嫌疑,難道是鼓勵中鏢的人 乖乖商討付錢贖檔案


樓主今天只是提供一個經歷、注意事項,
百般無奈之下的辛酸,說實話我不覺得這是什麼 " 鼓勵 " 行為,
除非你能指證歷歷樓主今天在這樣的行為中有獲得一定的利益,
否則這樣講很不厚道。



仕高利達2015 wrote:
我是不是要讓它在中一次病毒.......


千萬不要,在中毒一次,會在已經加密上的檔案再加密一次,
變成兩次加密,即使你付錢,也只會解開第二次的那層,
檔案還是不會回來的。

這也是為什麼樓主今天這篇文章中有提到重點,
防毒軟體有可能會將勒索病毒的一些細節都給移除,
如果想要付贖款取回檔案的人,最好還是先暫停防毒的保護。


惡魔印記666 wrote:
文內看來已經有「鼓勵」受害者付費去解密檔案的感覺
連我都感覺搞勒索病毒真的很好賺了


真的是非常有利可圖,以往的病毒、木馬都是有特定行為或目標,
獲利有限,但勒索病毒也不是什麼新的想法或 idea,
只是正好比特幣開始出現,且價值不斷攀升,其隱密性質正好符合勒索病毒的需求,
就變成今天這樣了。

我相信是真的很好賺,不然勒索病毒也不會不斷地一直變種重生了
2017-05-05 20:46
我覺得你肯分享這樣的文章很好啦,但是態度不用卑微到開頭還要先跟牠say sorry 吧

有點傻眼....
2017-05-05 20:56

yijaylin wrote:
我覺得你肯分享這樣的文章很好啦,但是態度不用卑微到開頭還要先跟牠say sorry 吧

有點傻眼....


可能是樓主有求於對方,
所以態度放得比較軟吧。

萬一信件內容都是三字經跟罵對方媽媽之類的話,
對方萬一惱羞成怒,殺價不成,還漲價就毀了 ~
page-button
page-button
.....
1 / 26
page-button
page-button
前往