No More Ransom正定胜邪

2016年5月的一天，德国计算机用户Marion准备登录家用电脑。这时她还不知道接下来将要面对怎样的命运。

首先出现的问题是电脑没有正常启动，无法显示桌面。即便重启电脑后也无济于事。随后，她在电脑屏幕上看到了勒索软件消息。她不清楚电脑是怎样感染上勒索软件的。她仔细回想了下她或任何家人最后一次使用电脑的情况，也没有发现任何可疑的地方。

但勒索软件确实劫持了电脑：

勒索软件横行

近几年来，勒索软件渐渐成为越来越严重的问题，没有任何迹象表明情况有所遏制。我们都知道，定期进行备份、不要打开可疑的电子邮件、使用最好的安全软件等等这些措施都十分重要。但是，一切总有意外，突然有一天你发现自己无法访问电脑、网络共享和所连接硬盘驱动器上的数据了。

除非不连任何网络、拔下CD驱动器、不用USB连接等等，否则没法保证电脑100%安全。而在当今互联世界中，上述做法太不实际。所以，您该做的是参与风险管理：找到适合自己的兼顾便利、安全和隐私的办法。

万一你成为勒索软件攻击的受害者，你需要知道的是，你并不是只有一个简单的二进制逻辑选项 – 付钱或不付钱。你还有更多的选择。

现在被勒索软件劫持后，要想拿回数据可能比以前更难。攻击者在不断修复”漏洞”，像卡巴斯基实验室等公司及其合作伙伴正是利用这些漏洞开发出通用工具，帮助受到各种勒索软件威胁攻击的文件解密。如今，勒索软件越来越复杂，变种也越来越多，恢复数据往往需要犯罪分子手中的私钥。

拿回数据

眼看成着情况变糟，Marion关掉了电脑，转而向所工作公司的IT部门寻求帮助。他们能捕获到所有相关数据：勒索软件消息、磁盘上的相关文件，甚至加密前后的一些图片和PDF。他们尝试了所有可用的工具来解密文件，但都没能成功。

在那一刻，想到电脑上的文件万一拿不回来，让Marion深受打击。她的硬盘驱动器有一个档案文件，里面存储着十多年来家人的照片：这些特别活动的照片是多年来积攒的，分类存储在文件夹中，按日期进行组织。这么多年收藏的宝贵资料现在完全没法访问了。

Marion没有对这些资料进行过外部备份，但她坚持一件事：绝不向犯罪分子付钱。

Marion联系了之前曾分享过照片的人，请他们把照片重发给她。通过这种方式，她找回了一部分资料。但绝大部分资料仍然没有办法找回来。

在她所在公司IT部门的帮助下，她在网上四处寻找解决办法未成，随后她又求助于朋友也同样无果。最后，万不得已情况下，她在Facebook上发帖寻求帮助，她甚至悬赏500欧元，希望有人能帮她拿回文件，而不用付钱给犯罪分子！

（翻译：我收到了很多人提供的帮助信息，但文件始终未能解密。看起来我电脑上的是一个新变种攻击，但我不会放弃希望，我把赏金提高到500欧元，希望有人能帮我解密文件。）

大约有20人对此回贴并尝试给予帮助，但没有一人成功。

No More Ransom大显身手

当时我参与到其中的时候就是这样的情况。我的一个老同学发现了Marion的贴子，因为知道我是在卡巴斯基实验室GReAT团队工作，所以把我添加到了对话中。

我联系了Marion，她给我提供了所有相关信息，供我寻找工具来解密她的文件。但我找不到攻击她电脑的任何特定变种。

拿着Marion的信息，我向公司的勒索软件专家寻求帮助。他们迅速确认，这种恶意软件是CryptXXX V3的一个新变种，目前还没有工具可用于解密文件。我把这个坏消息转告给Marion，但建议她不要支付赎金 — 因为攻击者会创建新的勒索软件，我们将与执法部门和其他合作伙伴一起开发解密工具，或者提取犯罪分子在其命令控制服务器上存储的私钥。

我们是通过No More Ransom项目开展上述工作的。2016年夏天，欧洲刑警组织（Europol）、卡巴斯基实验室和英特尔旗下的Intel Security联手推出了NoMoreRansom.org门户网站，旨在帮助勒索软件受害者恢复文件，破坏因利润丰厚而吸引网络犯罪分子一而再再而三故伎重施的业务模式。目前，该项目已经有40多位合作伙伴。

12月20日，我们在No More Ransom网页上新增了CryptXXX V3解密工具。此工具免费提供，和在该网站上能找到的所有勒索软件工具一样。

我一直记挂着Marion的事，所以我在Facebook上联系了她，并告诉她有新工具可用。几天后，她回复我说，已经拿回了所有加密的文件！（当然，我没要赏金。）

吸取的教训

我曾问过Marion，这次的事让她吸取了哪些教训。

除了将数据定期备份到不同的外部硬盘外，她现在上网更加小心，始终确保已安装最新的补丁。此外，她不再让其他任何人使用她的电脑。

这个案例说明我们所有人需要负责管理自己的风险。最终，是由您来管理自己的电脑、网络、隐私和个人资产。但万一出了问题，请记住你的选择并不只是付钱或不付钱。第一步应该是访问NoMoreRansom.org，看看是否有适用的解密工具，若有则无需付给犯罪分子一分钱，就能拿回文件。即便目前没还有适合你的解决方案，请耐心等一段时间，不要付钱给骗子。

Marion只是No More Ransom项目的诸多受益者之一，迄今为止该项目已经发布了7个免费解密工具。借助这些工具，有5000名用户已经解锁文件，避免支付的赎金超过150万美元。