慘烈的中了Dharma(.cezar Family)勒索病毒,十多年的心血毀於一旦

某天使用遠端桌面時,發現電腦畫面上竟然出現勒索的訊息,馬上殺到公司拔網路線+關機,但一切已經來不及了。



主要的症狀如下:
  1. 畫面上出現勒索訊息 "All your files have been encrypted!",勒索者的聯絡信箱是 bitpandacom@qq.com。
  2. 所有的檔案,除了資料夾和WINDOWS作業系統重要的檔案,其餘檔案皆變成.combo結尾的檔案,所以除了WINDOWS的基本功能之外,其餘軟體也都無法使用。
  3. 部分資料夾裡會附上一個TXT檔案。
  4. 任何隨身碟或記憶卡若這時插入電腦內,馬上就會變成加密的狀態。
  5. 就我這個案例來說,勒索金額一開始回覆我說是6500$,我起初還抱一絲希望會是台幣計價,詢問後果然是美金,6500美金大概是將近20萬台幣(也大約是一個比特幣的價錢),且必須以比特幣付費。
首先我到 https://id-ransomware.malwarehunterteam.com 網站,上傳被封鎖的檔案或以勒索者留下的訊息或EMAIL來判斷是何種勒索軟體,根據上傳的資料判斷勒索軟體為 "Dharma (.cezar Family)",不過有的軟體/網頁也說這個是Crysis病毒。當下對於Dharma做了很多國內外文章和討論區的搜尋,雖然副檔名和EMAIL與常見的Dharma不同,但其他行徑、勒索訊息的畫面則是一樣的。在有關Dharma的TWITER上 (網址) 討論裡,明確的表示被加密的軟體就目前的技術還無法解密。

而透過emsisoft也可以檢測種類,測試結果也一樣是 "Dharma (.cezar Family)",而且還很直接地告訴我無法解碼。


由於副檔名都被改成了.combo,搜尋  "勒索病毒 combo" 的資料相當少,但是若以勒索者的EMAIL搜尋,就可以發現很多資料。其中,說明的最齊全、且最貼切我這邊實際發生的狀況,應該就是這個英文網站 http://www.free-uninstall.org/how-to-remove-combo-ransomware-and-decrypt-taliferro-correaaol-com-or-cmb-files/ ,裡面提到這個勒索病毒是 Dharma/Cezar 最新的變種,2018年7月開始比較頻繁地出現,也可以看到案例中被勒索的金額有3500美金(還沒有我多)。但網站中也特別警告,付了贖金檔案並不會恢復到原本的狀態,綁匪只想要錢。網站中同時有移除病毒的方法,但對於檔案解密,只建議了用反刪除或系統還原的方式來死馬當活馬醫,對於實際上的解碼其實並沒有清楚提到。

另一個中文網站 https://hk.saowen.com/a/bc67ce37fbdfd8cce4251d0e5a88c3a300e48686c82228a0bda402a22e9668a7 也清楚地介紹這個軟體,並且作了很多技術分析。雖然同樣沒有解方、只有移除病毒的方法,但裡面有提到一個驚人案例,東莞某手機代工廠中勒索病毒且也支付了贖金,卻只解碼了一半的檔案,該工廠被要求另外支付0.3比特幣(約6.5萬元)。

其實我看了近百的網站,每個網站都不建議支付贖金,而事實上我也沒有20萬能付贖金,若只有2~3萬我還願意賭看看,20萬的話連賭的本錢都沒有,只能眼看著十多年的心血全部只剩下了檔名。但也因為確定不支付贖金,所以備份後就大膽的嘗試第三方的修復工具。

因為還是有網站宣稱有 Dharma 的解碼方法,以下是我的嘗試:
  1. ESET的 esetcrysisdecryptor.exe 無法偵測到,也不能修復
  2. 卡巴斯基的 rakhni decryptor 可以偵測到,但不能修復
  3. ReimageRepair 惡名昭彰,似乎只能解除軟體,但不能解碼,所以我也就沒有嘗試
  4. 反刪除軟體:如同前面的技術分析,勒索病毒會複寫資料,所以被加密的檔案都無法用此方式救援出來,能被救援出來的都是已經被刪除了很久的檔案、而且也不能被其他檔案複寫到,但也因為是原本就被使用者刪除的資料,所以能救到這些檔案也沒有太大的意義。不過這個方式仍值得一試,例如中毒前我曾經把一些檔案搬移道不同的磁碟裡,中毒後而可以是用反刪除的軟體,在原本被我刪除的位置救援到這些檔案。
  5. 系統還原:據說勒索病毒也會對系統還原做出反制,但因為我本來就停用了系統還原的選項,所以這個方法我也沒辦法去試。
以下列出幾個找到的解碼工具來源,希望未來能夠有解密程式的出現:

http://esupport.trendmicro.com/solution/zh-tw/1114221.aspx
https://www.quickheal.co.in/free-ransomware-decryption-tool/
https://www.eset.tw/download/utilities/

另外,由於勒索匪徒在往來的信件中透漏:
All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!
這也和上述網站中的描述相符,該病毒是透過遠端桌面取得最大權限,這是一個價值超過台幣20萬 + 十多年心血的教訓,建議有使用遠端桌面的人,儘快修改以下設定,免得後悔莫及:
  1. 更改超高難度的密碼和使用者名稱 (一定要有大小寫英文+數字+符號,若偷懶可能就會像我一樣中標)
  2. 將遠端桌面設定為較安全的 "僅允許來自執行含有網路層級驗證之遠端桌面的電腦來進行連線"
  3. 更改遠端桌面的PORT,方法是修改登陸檔,位置在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDPTcp\PortNumber ,詳細設定方式可參考 https://briian.com/7129/
  4. 更改防毒軟體的設定,將掃PORT的IP阻擋時間從原本的600秒(10分鐘)增加到999999秒(11.5天)
根據資安業者FireEye的調查報告:
有76%發生在周末或下班時間,企圖讓受駭組織來不及因應。
回想這次中毒,也是發生在週末,看來資訊人員即便下班也無法鬆懈。

[2021年3月23日更新]

最近收到幾間學校受到勒索病毒「Phobos 之變種 eking」攻擊的消息 (詳細資料可參考學術網路處理中心TACERT的報告),我好奇看了一下結果大為吃驚,這個病毒的勒索方式竟然和我所中的Dharma勒索病毒有九成相像,當然除了連絡Email、辨識ID及加密的附檔名不同(combo變成eking)之外,其餘皆是相同。而查詢國外資料 (連結),果然 Phobos 是由 Dharma 變種而來,甚至懷疑是同一作者而為,不過更可怕的是,感染管道除了遠端桌面RDP之外,似乎又多了透過巨集Word檔來散布,但比較奇怪的是國外對於該病毒的資料並沒有提到巨集Word檔這個管道。

留言

  1. 我也中了此病毒, 請問您解決了嗎?

    回覆刪除
    回覆
    1. 唉,沒解決。硬碟完全沒動全部留著,期待未來能有疫苗可以解碼這個病毒了。

      刪除
  2. 要不要試試看這個方式呢?雖然是解CryptON,但運作原理似乎相同。
    https://elearning.ebookboxs.com/extortion-virus-decrypted-sale/#buy-now

    回覆刪除
    回覆
    1. 我覺得您的留言比較像廣告,是要付費才能幫解碼(而且似乎只能解圖檔和影片檔),但我決定不刪除您的這則留言,因為對於真的很需要被加密照片的人來說或許也是一個方式。是否購買課程請大家自行斟酌。

      只是該網頁下方竟然有著24小時的倒數計時器,標註"注意!當計數器歸零,將會調漲課程價格",雖然我覺得這只是一種手段/噱頭,但樣的做法和勒索的駭客一樣,令我感到反感。

      刪除
  3. Looking to How to uninstall McAfee? antivirus from windows or mac and having any issues can contact our McAfee expert team member can handle your all query.

    回覆刪除
  4. actually dealing with ransomware is the most severe situation for any PC users. These malware are able to make your productive files inaccessible. Two major steps you need to take. First, provide protection system data files by removing the ransomware and prevent malware outside the system.
    To know steps to remove the ransomware visit this:- https://www.fixransomwaremalware.com/how-to-get-rid-of-new-dharma-ransomware-from-system

    回覆刪除
    回覆
    1. 對中了勒索病毒的人來說,系統有沒有解毒並不重要,重要的是被加密的檔案能不能被解密,系統有沒有病毒已經是其次的問題了。截至目前我都還在尋找解密的方法,但目前還沒有解藥。

      刪除
  5. 辛苦了 去年我也中了 副檔名 .eth
    付了4萬多 (砍價後)
    給了我一個程式算加密 傳回給他後
    對方要求更多錢
    拒絕後就無消無息了
    以上

    回覆刪除
    回覆
    1. 我認為,駭客把檔案加密的行徑實在無法讓人相信他們是有誠信的,尤其在搜尋到有企業也是解密過程中被再次勒索加價,所以根本不敢付贖金。您所分享的經驗(我相信一定很痛很痛),可以讓更多人知道,他們是不可信的。

      刪除

張貼留言