不像大多数的恶意软件,勒索软件是不隐身。这是响亮和厌恶,如果你已经被感染,攻击者会告诉你,毫不含糊。毕竟,他们要支付。
“你的个人文件被加密了,”电脑上的信息发出刺耳的声音。“您的文档、照片、数据库和其他重要文件都经过了最强大的加密和唯一的密钥加密,这些密钥都是为这台计算机生成的。虽然使用的语言可能不同,但大意是一样的:如果你不支付赎金——通常是在48到72小时内——你的文件就会被销毁。
或者是他们?还有就是肇事者可能试图假冒你出苗条的可能性,并且这些文件没有被加密。虽然不是一个常见的场景,它会按行业专家发生。而不是支付了,你可以绕过你一天假吓人的消息和举措。
“有一些地方没有发生真正的加密例子。相反,网络犯罪分子依靠攻击的社会工程边缘说服人们付出,”警告格雷森Milbourne,在Webroot公司的安全情报总监。
这是真的还是假的?
只需几秒钟就能确认这是一种真正的感染,还是一种社会工程骗局。
如果赎金要求包括勒索软件的名称,那么就没有什么神秘的,你就有麻烦了。识别自己的勒索软件家族包括Linux。Encoder——第一个基于linux的勒索软件——上面清楚地写着“用Linux.Encoder加密”。coinault通过列出支持邮件地址来识别自己。TeslaCrypt和CTB-Locker也属于著名的勒索软件家族,它们会告诉你是谁将你的文件作为人质。
+相关:如何来勒索威胁作出反应+
但也有很多赎金剧本不与理会的名字的。例如,CryptoLocker只是警告说,您的文件已被加密,从来没有标榜它的名字。相反,你将不得不寻找其他的线索:有一个支持的电子邮件地址?在互联网上搜索了比特币付款地址或实际赎金的消息,看看在论坛上或从安全研究人员上来。
如果你不能确定的勒索软件,然后有一个机会,它可能是假的。在这种情况下,您的文件实际上并没有加密;攻击者只弹出一个可怕的消息,并锁定屏幕。该赎金通常是浏览器窗口中显示出来,并且不允许用户导航离开,或锁定屏幕,显示一个对话框,要求输入加密密钥。因为受害人无法关闭的消息,它看起来真的。
如果有可能,关闭使用键命令,如Alt-F4键在Windows和Mac OS X命令-W的屏幕了,那么赎金是假的。或者尝试强制重启设备,看看此消息消失。
勒索软件倾向于在加密过程中更改文件名。Locky向所有文档添加.lock文件扩展名,而CryptXXX使用.crypt文件扩展名。查看这些文件,看看哪些文件已被修改。看看是否仍然可以打开它们,或者是否可以更改文件扩展名并打开文件。有时候,文件扩展名在没有加密文件的情况下就被更改了。
重新进入使用Linux的Live CD系统和搜索系统,看看实际的文件已被移动或重命名。大多数现代操作系统可以搜索文件的内容与文件名一起。
不要让您的希望过高
虽然这是很好的怀疑,如果你看到了赎金要求,它可能是合法的。由于犯罪软件与勒索及勒索软件作为一种服务预装包,入门的门槛要低得多。脚本小子等技术不太倾斜犯罪分子试图在实际勒索团伙的成功搭载,而不投入工作。
“The simplicity of buying your crypto-malware from a crime-as-a-service provider now means cyber criminals can easily deploy a ransomware attack that uses complex and effective encryption against their targets,” says Mimecast’s cyber security strategist, Orlando Scott-Cowley.
勒索软件感染是一个严重的威胁和攻击,假冒是比较少见的。但是你开始重建你的机器从一个勒索感染中恢复的过程之前,请确保您不会被骗。它只需几分钟。
如果事实证明你是被真枪实弹的东西伤害了,你可能还有另一个渺茫的机会:可公开获得的解密工具。
这个故事,“如何判断你被假勒索打”最初发表InfoWorld的 。