我最近的勒索案结果很糟糕。

我的一个朋友最近与我联系，请求帮助处理一个加密病毒。他的公司被勒索软件袭击了。病毒设法感染了两个网络，主要运行文件（vhd）。所以，所有的文件都被加密了，无法使用。

感染是通过电子邮件传播的。这是一张带有恶意MS Word文件的假发票。一旦我的朋友下载了文件并点击打开它，大数据的解决方案，病毒就会提示允许使用宏。这就是诀窍，允许宏启动病毒传播。

我的朋友给我提供了一个样本加密文件。文件名没有更改，建站论坛，但添加了很长的扩展名。更改后的文件名如下：report-0105。xlsx.id文件-D3Y9D1E7G[sabantui@tutanota.com].wallet

我已经与许多勒索软件感染工作了相当长的一段时间。查看文件名，我认为这是达摩恶意软件的一个新变种。我看到文件名没有被加扰（report-0105.xlsx），然后是受害者的ID，接着是黑客的联系电子邮件和病毒版本–.wallet.

每个受害者都有自己的ID。至于联系电子邮件–他们依赖于发动这一特定活动的一群网络罪犯。每个帮派使用自己的联系电子邮件。最后一部分是实际的文件扩展名.wallet–反映了最新的病毒版本。以前的达摩勒索软件使用了.Dharma和.crysis扩展名。

除了文件格式之外，另一个证明是达摩病毒的标志是勒索单。在加密文件之后，crooks在桌面和每个文件夹中放了一个名为files ENCRYPTED的.txt文件。这个文本文件提供了如何取回损坏文件的说明。

勒索软件说明中使用的实际措辞与以前版本的达摩病毒非常接近。受害者应该给sabantui@tutanota发个信息。然后骗子们会提供一个比特币地址来汇款。一旦受害者付了钱，骗子就答应把解密的钥匙送过去。

这是达摩作者用来获得赎金的标准程序。黑客们坚持要迅速转身，并敦促尽快与他们联系。虽然我知道很多情况下，他们发送解密密钥（收到付款后），但不建议这样做。你可能没有钱和文件。你不能相信黑客。

同样重要的是，大数据的，在与黑客沟通时，受害者总是使用VPN来隐藏他们的IP和系统数据。当你付钱的时候，黑客们喜欢回来第二次感染你。

在我们的情况下，识别出确切的病毒并不困难。然而，许多新的受害者没有勒索软件的经验。如果你被文件加密恶意软件击中，第一步是知道它是什么。有几种工具可用于此。最好的是免费的身份勒索工具。你需要上传一个加密文件和赎金条。安全研究人员正在保存所有勒索软件病毒的记录，可以快速帮助您。

当您知道病毒的名称时，请继续执行第二步，大数据怎么学，即查找任何现有的解密工具。黑客经常在他们的代码中犯错误，允许杀毒供应商破坏加密并创建解密工具。这是可悲的，但这个版本的达摩是专业制作，不能被恶意软件研究人员打破。无法解密被此病毒锁定的文件。我的朋友试图使用ESET，卡巴斯基，HitmanPro勒索软件解密技巧和工具。什么都没用。黑客使用强大的RSA和AES加密算法。我没能以任何方式提供帮助。

留给我们的唯一选择就是在一个专门的勒索软件支持论坛上描述这个案件。大多数勒索软件研究人员（来自著名的反病毒公司）都为这个社区做出了贡献。即使没有可用的解密解决方案，也有可能在不久的将来出现（有很多这样的情况）或者黑客自己发布解密密钥。重要的是不要更改加密文件，好评返现图片，并将其保存在安全的地方等待。

我的朋友决定不支付赎金，因为黑客要求的金额几乎等于锁定数据的成本。如果你的数据非常重要，你最终会付出代价。勒索软件的威胁正在增长，因为很多人向黑客付费。

所有这些麻烦都可以通过简单的数据备份来避免。很遗憾，但是我朋友的公司几个月没有备份他们的系统。其他企业也应该从中吸取教训。一定要定期备份并保持离线！

关于作者：

我叫大卫·巴拉班。我是一名计算机安全研究员，在恶意软件分析和防病毒软件方面有超过15年的经验。SAP社区需要并希望在我擅长的主题（如信息安全、物联网、区块链）上提供大量内容。我希望在这里分享我的知识和经验，并与我可能从未接触过的人建立联系