慘烈的中了Dharma(.cezar Family)勒索病毒，十多年的心血毀於一旦

某天使用遠端桌面時，發現電腦畫面上竟然出現勒索的訊息，馬上殺到公司拔網路線+關機，但一切已經來不及了。

主要的症狀如下：

1. 畫面上出現勒索訊息 "All your files have been encrypted!"，勒索者的聯絡信箱是 bitpandacom@qq.com。
2. 所有的檔案，除了資料夾和WINDOWS作業系統重要的檔案，其餘檔案皆變成.combo結尾的檔案，所以除了WINDOWS的基本功能之外，其餘軟體也都無法使用。
3. 部分資料夾裡會附上一個TXT檔案。
4. 任何隨身碟或記憶卡若這時插入電腦內，馬上就會變成加密的狀態。
5. 就我這個案例來說，勒索金額一開始回覆我說是6500$，我起初還抱一絲希望會是台幣計價，詢問後果然是美金，6500美金大概是將近20萬台幣(也大約是一個比特幣的價錢)，且必須以比特幣付費。

首先我到 https://id-ransomware.malwarehunterteam.com 網站，上傳被封鎖的檔案或以勒索者留下的訊息或EMAIL來判斷是何種勒索軟體，根據上傳的資料判斷勒索軟體為 "Dharma (.cezar Family)"，不過有的軟體/網頁也說這個是Crysis病毒。當下對於Dharma做了很多國內外文章和討論區的搜尋，雖然副檔名和EMAIL與常見的Dharma不同，但其他行徑、勒索訊息的畫面則是一樣的。在有關Dharma的TWITER上 (網址) 討論裡，明確的表示被加密的軟體就目前的技術還無法解密。

而透過emsisoft也可以檢測種類，測試結果也一樣是 "Dharma (.cezar Family)"，而且還很直接地告訴我無法解碼。

由於副檔名都被改成了.combo，搜尋  "勒索病毒 combo" 的資料相當少，但是若以勒索者的EMAIL搜尋，就可以發現很多資料。其中，說明的最齊全、且最貼切我這邊實際發生的狀況，應該就是這個英文網站 http://www.free-uninstall.org/how-to-remove-combo-ransomware-and-decrypt-taliferro-correaaol-com-or-cmb-files/ ，裡面提到這個勒索病毒是 Dharma/Cezar 最新的變種，2018年7月開始比較頻繁地出現，也可以看到案例中被勒索的金額有3500美金(還沒有我多)。但網站中也特別警告，付了贖金檔案並不會恢復到原本的狀態，綁匪只想要錢。網站中同時有移除病毒的方法，但對於檔案解密，只建議了用反刪除或系統還原的方式來死馬當活馬醫，對於實際上的解碼其實並沒有清楚提到。

另一個中文網站 https://hk.saowen.com/a/bc67ce37fbdfd8cce4251d0e5a88c3a300e48686c82228a0bda402a22e9668a7 也清楚地介紹這個軟體，並且作了很多技術分析。雖然同樣沒有解方、只有移除病毒的方法，但裡面有提到一個驚人案例，東莞某手機代工廠中勒索病毒且也支付了贖金，卻只解碼了一半的檔案，該工廠被要求另外支付0.3比特幣(約6.5萬元)。

其實我看了近百的網站，每個網站都不建議支付贖金，而事實上我也沒有20萬能付贖金，若只有2~3萬我還願意賭看看，20萬的話連賭的本錢都沒有，只能眼看著十多年的心血全部只剩下了檔名。但也因為確定不支付贖金，所以備份後就大膽的嘗試第三方的修復工具。

因為還是有網站宣稱有 Dharma 的解碼方法，以下是我的嘗試：

1. ESET的 esetcrysisdecryptor.exe 無法偵測到，也不能修復
2. 卡巴斯基的 rakhni decryptor 可以偵測到，但不能修復
3. ReimageRepair 惡名昭彰，似乎只能解除軟體，但不能解碼，所以我也就沒有嘗試
4. 反刪除軟體：如同前面的技術分析，勒索病毒會複寫資料，所以被加密的檔案都無法用此方式救援出來，能被救援出來的都是已經被刪除了很久的檔案、而且也不能被其他檔案複寫到，但也因為是原本就被使用者刪除的資料，所以能救到這些檔案也沒有太大的意義。不過這個方式仍值得一試，例如中毒前我曾經把一些檔案搬移道不同的磁碟裡，中毒後而可以是用反刪除的軟體，在原本被我刪除的位置救援到這些檔案。
5. 系統還原：據說勒索病毒也會對系統還原做出反制，但因為我本來就停用了系統還原的選項，所以這個方法我也沒辦法去試。

以下列出幾個找到的解碼工具來源，希望未來能夠有解密程式的出現：

https://www.avast.com/zh-tw/ransomware-decryption-tools
https://noransom.kaspersky.com/

https://decrypter.emsisoft.com/

https://www.nomoreransom.org/zh/decryption-tools.html

http://esupport.trendmicro.com/solution/zh-tw/1114221.aspx
https://www.quickheal.co.in/free-ransomware-decryption-tool/
https://www.eset.tw/download/utilities/

另外，由於勒索匪徒在往來的信件中透漏：

All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!

這也和上述網站中的描述相符，該病毒是透過遠端桌面取得最大權限，這是一個價值超過台幣20萬 + 十多年心血的教訓，建議有使用遠端桌面的人，儘快修改以下設定，免得後悔莫及：

1. 更改超高難度的密碼和使用者名稱 (一定要有大小寫英文+數字+符號，若偷懶可能就會像我一樣中標)
2. 將遠端桌面設定為較安全的 "僅允許來自執行含有網路層級驗證之遠端桌面的電腦來進行連線"
3. 更改遠端桌面的PORT，方法是修改登陸檔，位置在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP–Tcp\PortNumber ，詳細設定方式可參考 https://briian.com/7129/
4. 更改防毒軟體的設定，將掃PORT的IP阻擋時間從原本的600秒(10分鐘)增加到999999秒(11.5天)

根據資安業者FireEye的調查報告：

有76%發生在周末或下班時間，企圖讓受駭組織來不及因應。

回想這次中毒，也是發生在週末，看來資訊人員即便下班也無法鬆懈。

[2021年3月23日更新]

最近收到幾間學校受到勒索病毒「Phobos 之變種 eking」攻擊的消息 (詳細資料可參考學術網路處理中心TACERT的報告)，我好奇看了一下結果大為吃驚，這個病毒的勒索方式竟然和我所中的Dharma勒索病毒有九成相像，當然除了連絡Email、辨識ID及加密的附檔名不同(combo變成eking)之外，其餘皆是相同。而查詢國外資料 (連結)，果然 Phobos 是由 Dharma 變種而來，甚至懷疑是同一作者而為，不過更可怕的是，感染管道除了遠端桌面RDP之外，似乎又多了透過巨集Word檔來散布，但比較奇怪的是國外對於該病毒的資料並沒有提到巨集Word檔這個管道。