警察

比利时警方与卡巴斯基实验室通力合作，想尽办法取得了密钥来恢复使用新版本Cryakl勒索软件（也称为Fantomas）加密的文件。更新后的解密工具已经可以在No More Ransom的网站上提供。

目前，网络罪犯可能存在的最大问题就是他们极难抓捕到。想象一下现实中头戴面具、手握长枪的银行劫匪—就算是小偷也会留下指纹；监控摄像机会记录下罪犯的声音；同时警察也能利用交通摄像头追捕犯罪车辆的行踪。所有这些手段都能帮助警察寻找到犯罪嫌疑人。但网络犯罪分子在实施犯罪时却基本…什么都不会留下。而且毫无线索可寻。

作为一家专为政府机构提供云存储服务的公司，iPower近期意外发现一名巡警随身佩戴的摄像头内潜伏着病毒。每次该部随身摄像头连接计算机时，反病毒软件即会嗡嗡作响。事实证明，该部摄像头已感染Win32.Conficker.B!inf病毒。

即使在我们最鼎盛的时期，成功也并非一蹴而就；在这历经险阻将近20年的时间里，我们始终保持着行业领先地位。今年，我们公司已步入了第18个年头，我们也达成了许多里程碑式的成就。

今年9月14日（星期一），荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起，该恶意软件将20多个国家的电脑用户作为攻击目标，锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。 卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变，并与荷兰警方国家高科技罪案组（NHTCU）保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言，特别在书写中要想不出现错误更是难上加难，因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的！ 2014年11月，卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话，受害人只有两种选择，要么向犯罪分子支付赎金，要么就永远失去自己的重要文件。 此后，卡巴斯基实验室还联系了熊猫安全公司，该公司曾发现另一些恶意软件样本（事实证明与CoinVault有关）的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力，终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。 我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查，其中只有一小部分与执法机构合作。 荷兰警方承认，正是有了与多家安全公司的合作，才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起，主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。 相比设法解密被盗文件或支付高昂赎金，预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本，以及定期在未联网设备上做备份，如此即可高枕无忧。而且请牢记：你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外，即便你支付了赎金，也无法保证就一定能恢复被锁文件。  

大家好！通常我所写的文章都会涉及技术支持或问题解决方面的主题，但这篇却是例外–但与网络安全世界同样有一定关联。在今天的这篇博文中，我们将讨论”电话诈骗”。我读过许多有关骗子的文章，也在理论层面了解他们的诈骗方法，但这是我第一次在现实中遇到骗子。 这一切的开始是我妈在凌晨0点30分给我打的一个电话。我当时刚睡下1个多小时，她电话里问我的第一个问题让我稍许感到惊讶。 “Rodion，你在哪里？”我当时在半梦半醒之间，过了好一阵才做出了正确的回答。随后，我让我妈相信我此时正在床上睡觉，并准备再睡个几小时。我问道：”发生什么事了？” 事情的经过是这样的：在午夜时分，有个家伙用固定电话打给她，电话里的声音略显疲倦：”妈妈，我出事了。我需要你的帮助。我把电话给警官，他会跟你详细说的。” 随后一名自称叫”Alexander”的”警官”将电话拿了过去。 我妈：”发生什么事了？” Alexander：”你儿子撞到了一位女士。他将面临严重的质控。你准备帮他吗？” 我妈：”当然，需要花多少钱？” Alexander：”10万卢布（按当时汇率约合2000美元）。” 我妈：”我儿子现在人在哪里？” Alexander：”你需要确切的地址吗？” 我妈：”我需要地址，这样我才能将钱送过来。” 对于”Alexander”可谓不幸，就当他和他的伙伴刚准备试着模仿情报安全部的”同事”说话时，我妈似乎明白了什么。就当我妈在和Alexander”警官”继续讨论相关解决事宜时，她用手机拨打了我的电话以弄清事实。而当我刚在电话里回了一句后，那两个骗子马上就挂断了电话。 我告诉我妈我目前的真实状况并让她确信根本没什么好担心的，同时我也为我妈在与骗子交谈时的沉着冷静而感到自豪。一旦真相弄清了以后，她随即报了警。 许多人在遇到这样骗局时根本不会考虑报警，至少在俄罗斯是如此。他们认为自己会被耻笑—但我们可以保证并不是这么回事。当我们打电话向分区警察局报案时，警察告诉我们的第一件事就是在任何情况下都不要转钱给他们，如果已转了钱应该立即撤销转账。 警察局极度重视这个案件，并委派了一名调查员到我妈家里去。调查员在早上4点就到了（！），给我妈做了笔录，向她简要介绍了此类诈骗案件，并指导她以后再遇到这种情况该如何应对。 现在，是时候对整个事件进行下分析。上述情况并非个案，骗子们通过各种渠道实施诈骗，包括：电话、短信、电邮、社交网络以及流行通讯软件（例如Skype）等。 我无法确定为什么有人会想出这样精心设计的骗局来简单地赚钱。这些人难道不会想想他们的目标受害人可能患有心脏病或当听到这样的消息会疾病发作。无论如何，利用他人的恐惧心理赚取不义之财必定将遭到报应，无论你相信与否。 为了让骗子暴露原形，你首先不能惊慌 先将哲学理念放到一边，让我们进入正题。我们遇到的此类骗子”大打亲情牌和友谊牌”。试想哪一个家长或朋友在遇到这样重大情况时会置之不理或拒绝提供帮助呢？骗子会不断对受害人进行威吓、惊吓甚至混淆视听，使得电话那头的受害人不敢询问太多的问题，只能乖乖将钱双手奉上。 然后，有一件事你需要牢记在心。通常来说，骗子在选择目标时，通常都是随机的。骗子也有可能对照着手机号码数据库内的清单逐一拨打，进行地毯式的轰炸。 由于拨打了海量的电话号码，因此总有机会找到那些有会驾车的儿子的妈妈们。 即时这样的概率很高，骗子也无法知晓受害人儿子的名字以及所驾驶汽车的品牌。总而言之，他们对于正在实施诈骗对象的背景可以说一无所知。 当然，也有例外情况存在，但大多数情况下都与我上面所描述的诈骗手段相似。因此，要想让骗子原形毕露，第一件事你需要控制自己的情绪（当然，在你听到这样令人震惊的消息时很难做到），并试着向骗子问一些他们无法回答的问题。 例如，在我们的案例中，我妈完全可以问骗子”你说的是我哪个儿子”。骗子通常都会尽量避免回答这样的问题或被迫放弃他的初步计划，但最后他肯定还是无法准确说出你儿子的名字。这样，所谓的’警官’也就无法再进一步演下去了。此外还可以问另一个问题：你找的是谁？ 第二条建议：对骗子所告诉你的”震惊消息”暂不理睬，而应尽量与骗子说的那个发生事故的人直接取得联系。这正是我妈所采用的方法。一旦骗子们意识到受害人并没有情绪失控并继续尝试分析事实的话，他们会立即失去信心并挂断电话。 电话诈骗相比短信、通讯软件或其它发送文本的通信渠道而言，让受害人更难以控制住自己的情绪：并且你也无法用另一个电话查明真相。与此同时，骗子们会使出十八般武艺，从声调到演技无所不用其极。因此，最重要的是控制好自己的情绪。 以下的”反诈骗指南”可助您确保不被骗子们所迷惑： 1.不要惊慌！ 2.不要相信任何表面上说的话！

在多数情况下，一旦你不幸成为勒索软件的受害人，对此可以说是完全束手无策。但幸运的是，警察和网络安全公司时常会采取联合行动，关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用，因为其有助于编写解密工具并恢复用户的文件。最近，德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容，可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话，在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话，请参阅以下操作步骤。 第一步：确定自己的计算机是否真的感染了CoinVault勒索软件。 首先，确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单：如果你的计算机被CoinVault感染的话，你将能看到如下图片： 第二步：获取比特币钱包地址 在CoinVault勒索软件界面的右下角，你将能看到比特币钱包地址（上图中用黑圈标记的地方）。复制并保存这个地址非常重要！ 第三步：获取加密文件清单 在该恶意软件窗口的左上角，你将能看到’查看加密文件清单’按钮（上图中用蓝圈标记的地方）。点击这个按钮并保存为一个文件。 第四步：清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后，该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步：访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知，则IV（初始化向量）和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV，后面你将需要用到。 第六步：下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息（如下图所示），进行第七步操作。如果没有错误消息，则跳过第七步直接进行第八步操作。 第七步：下载并安装另外的libraries（库） 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步：打开解密工具 打开该工具后你将能看到以下窗口： 第九步：测试解密程序是否运行正常 在首次运行该工具时，我们强烈建议您对解密程序进行测试。具体操作步序如下： 在”单文件解密”框内点击”选择文件”按钮，并选择你想解密的一个文件； 将来自网页的IV输入到IV框内； 将来自网页的密钥输入到IV框内； 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步：解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话，则能立即恢复你的所有文件。选择从第三步中所获取的文件清单，输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话，这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况，我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话，可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话，应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中，我们将不断实时添加新的密钥。

7月份已悄然离我们而去，现在是时候来回顾一下网络犯罪分子与检察官之间”战争”的最新的战况到底进行得如何。 在我们的7月热点诉讼案中，罗马尼亚和俄罗斯人似乎成为了新闻主角 因银行诈骗罪获刑9年。一名阿尔巴尼亚的27岁黑客承认犯有银行诈骗罪，并供认了在2011年参与某网络犯罪组织的一次大型犯罪行动，该网络犯罪组织在大约48小时的时间内先后从近20个国家的ATM机上非法提取了约1400万美元的现金。Qendrim Dobruna对入侵摩根大通银行系统并以美国红十字会账户处理交易的事实供认不讳。这一犯罪计划对大量的ATM机造成了影响，使得这些网络犯罪分子在短短两天内进行了数千次的提款，非法获取了1000多万美元的现金。根据与政府签署的认罪协议中，Dobruna（又叫做cL0sEd and cL0z）将被判处9年监禁，而不是庭审过程中已宣判的30年监禁。 三名俄罗斯人因窃取160万美元而遭逮捕。3名俄罗斯公民因与窃取160多万美元的一家国际网络犯罪团伙有关联而遭逮捕。Vadim Polyakov、Nikolay Matveychuk和Sergei Kirin是7人网络犯罪团伙中的3人，这7名散布在全球的犯罪分子被指控非法访问了StubHub在线票务网站的1,600个用户账号。根据检查官所述，Vadim Polyakov（30岁）和Nikolay Matveychuk（21岁）非法购买了3,500多张机票，随后将这些机票邮寄给了3名美国人。这几个美国人再将机票倒卖，并在Sergei Kirin（37岁）在内其他几个人的帮助下，通过国际电汇和在线转账服务PayPal进行洗钱活动。Polyakov于7月3日在巴塞罗那附近度假期间遭到逮捕。Matveychuk和Kirin依然留在了俄罗斯，但美国方面希望能将他们带回美国受审。 俄罗斯黑客可能获刑30年。俄罗斯籍男子Roman Seleznev被控在华盛顿西区入侵了遍及全美的零售商计算机，他于7月上旬在马尔代夫被逮捕，随后被押往广岛。据检察官所述，Seleznev（也叫做Track2、nCux和Bulba）实施了一项旨在扫描设备漏洞和安装恶意软件的计划，并于2009年至2011年期间盗窃了超过200,000个信用卡卡号。他被控使用位于弗吉尼亚、俄罗斯、乌克兰和世界其它地方的服务器出售这些信用卡号，非法获利200多万美元。Seleznev将因此而面临30年的铁窗生涯和200万美元的罚款。顺便说下，这家伙还在内华达地区遭到单独的起诉，被控参与诈骗影响的舞弊组织和共谋经营诈骗影响的舞弊组织，此外还因两次拥有15台或以上的伪造和越权访问设备而被起诉。 美国银行诈骗犯被判入狱4年 Julian Schiopu，34岁，被控对多家公司的客户实施诈骗，这些公司包括：美国银行、PayPal和eBay。他通过向受害人发送伪装成银行正当通知邮件的恶意邮件讯息实施诈骗活动。这些邮件无一例外地告知客户其账户也被锁定，以及如何”解锁”的说明。当然，向受害人提供的只是伪造的URL，这受害的银行客户所访问的页面实际由这些黑客所掌控。一旦受害人提交了自己的银行账户信息，该名网络犯罪分子及其同谋者则能够立即从ATM机上提取现金。拘捕Schiopu的行动于2013年开始，瑞典当局在当年就对他进行了逮捕并引渡至美国。另外还有18罗马尼亚公民遭到逮捕，他们都涉嫌参与了诈骗活动。Julian Schiopu在接下来的45个月里不得不在牢狱中渡过。 假扮成苹果公司可能导致入狱 两人因在英国实施网络钓鱼诈骗和窃取25,000多美元而总共获刑14年。Constanta Agrigoroaie（23岁）和Radu Savoae（28岁）在供认了合谋实施诈骗、6次持有虚假身份证以及持有制作虚假身份证和银行卡设备的事实后，被宣判有罪。他们通过向受害人发送网络钓鱼邮件，宣称来自苹果公司并告知受害人的账户已被盗。为解决这一问题，收件人得到了一个虚假网站的链接，该虚假网站则用于收集包括银行账户信息在内的用户私人信息。这两名犯罪分子从受害人账户窃取的资金随后被用于购买机票，帮助国外犯罪分子潜入英国实施犯罪活动。调查员拦截了一架从罗马尼亚飞往英国的飞机，在这架飞机上发现了几名宣称互不认识的乘客，但事实上他们的机票却是从同一台电脑上所购买，最终这一诈骗案得以侦破。通过对机票预订信息进行调查后找到了一个地址，在那里抓获了另一名网络钓鱼者。Agrigoroaie和Savoae分别被判处6年和8年的监禁。