〖注意〗苏州警方已经破获“诚辉客服”网络敲诈案！

starshow0571

望广大受害人可以联系警方的QQ和联系电话：QQ39185286，电话0512-65234756
我单位的是诚辉客服的受害人，11月22日电脑内重要数据被毁。11月24日被其讹去290元。具体的事件如下
==========================================================
瑞星公司回复



2006年11月22日中午11点33分:
我局财务电脑中了黑客的勒索软件，D、E、F盘中保存的所有的数据被转移、加密并伪装，价值上百万的材料面临被损毁的危险。在此事件未结束之前，我仅一个非专业人员的角度，阐述事件的发生、经过，以及最终的处理结果。在事件告破以后，我会将此勒索病毒的样本或生成的伪装文件、制造者信息独家披露在霏凡，请大家关注。


11月22日下午１３：２０
通过施毒者留在硬盘上的ＱＱ　7412192　我联系到了那个人，此人自称是诚辉软件公司的客服人员（此人QQ的IP地址一直在变换），说是我们试用了他们的软件后误操作导致硬盘数据消失的，拐弯抹角一番聊天后，对方提出了３２０的价码，并承诺通过ＱＱ在线协助恢复我们的数据。思虑再三后，我们决定向警方求助。拨打１１０报警电话后，我们得到了令人沮丧的回答，类似事件不予受理，对方要求我们自行到就近的派出所报案。后来我们通过熟人找到了网络监察大队，大队的答复说他们不能直接受理案件，还是叫我们先到派出所报案，做笔录。一天的折腾使得我疲惫不堪，而且到了下班时间，只好先把这事情搁置一下，等明天继续处理。还好我们在快下班的时候得到了警方的答复，对方的刑侦科明天会来人到现场勘查。


11月23日上午９：２０
我局通过系统内的关系，与我市的网络监察大队　刑侦科取得了联系。他们负责信息安全的副科长带了一个ＵＳＢ硬盘取了一些样本，并作了笔录。说实话，他们的技术也不强，而且他们说这种异地作案一般不会特意追查，但是如果类似的案件数量越来越多的话，他们会成立专案组予以特别侦查的。所以我已经不对他们报什么希望了。
下午１５：３０我在某论坛上（http://www.xcar.com.cn/viewthrea ... 7989&sid=Efahkj）找到了同样的中毒者，他的症状与我的一模一样，数据被抹去，硬盘容量却没变，是大量的LJ数据充斥了硬盘空间。

下午１６：３４分，我请来了本地据说实力最强的电脑公司技术员，他来看后，摇头说：“先不要汇款，我估计你的数据是恢复不了了。而且汇款会被对方钓鱼或持续勒索的。”

晚上１９：３４分，打江民的８００８１０２３００技术支持。结果是“本电话暂不受理”把病毒样本用ｗｉｎｒａｒ打包后发到江民专用邮箱ｖｉｒｕｓ＠ｊｉａｎｇｍｉｎ，结果说附件格式不符合立即予以退回。最后还是把病毒样板提交到瑞星，对方在大约３５分钟左右就回复了我。在此我也说点题外话，我们买防毒软件，不是求防毒的技术有多高，也不是求你能防的病毒有多么多，因为防毒软件永远落后于新病毒的发展。我们追求的是防毒软件能给予我们的支持和后继服务。江民的这种服务令我不敢恭维。以后哪怕瑞星的技术再差，我也会建议我的朋友和同事购买瑞星的产品，而不是那种自我吹嘘的公司。
明天继续报导事件进展。请大家给予我最大的支持和对那些挂羊头卖狗肉厂家的鄙视。

11月24日下午13：08
抱着鱼死网破的和把钱扔到水坑里的心理，我局的受害人决定将钱汇给那个QQ，有趣的是，受害人通过一番讲价，将“技术服务费”的价格讲到了280元。将钱款汇出后，经过一番等待，对方声称收到了钱款，并提供了另外一个技术服务的QQ： 531632850，在把这个QQ加为好友后，对方却一直处于离线状态，过不多久，那个客服的QQ 7412192也隐身了，直到13:50分，他一直处于隐身状态，你的留言也不予答复。

11月24日下午14：18
我们的受害人汇款已经过去1小时了，受害人处于抓狂和精神崩溃的边缘，正当我们以为中计受骗的时候，客服QQ却戏剧性地发了两条消息，说他现在要去开会，下班之前帮我们恢复硬盘数据，请我们不要着急，并不要关闭QQ，技术员随时会联系我们。

虽然我觉得他可能是在使用缓兵之计，为自己争取时间，但我们的受害人还是决定再等等。既然钱都汇了，也不怕了。请大家关注我的帖子，是骡子是马今天下午6点之前应能见分晓。


11月24日下午19：38
现在已经晚上7点了，我刚刚下班，与我们的受害人一起。
刚才的事情是这样的，下班之前，大概是16：53分，我们的受害人因为等的着急，给客服QQ发了一条消息，要求他们快点帮其恢复数据。令人颇感意外的是，对方很快做了回复，并要求我们向客服的QQ发送的远程协助邀请。QQ的那一端声称自己是技术人员，用的是客服的QQ。于是我们把电脑交给对方控制。并用DV实时记录对方的操作。对方先是把桌面，硬盘的根分区看了一遍，然后把QQ的安全设置调低，以便其发送可执行文件。过了一会儿，对方发了一个名为“密码清零.exe.rar”到我的桌面，并将里面解压出4个名为“密码清零.exe“到D E F G盘，随后，对方执行了这些程序，这些程序运行后，会显示[恢复数据][撕毁数据]单选框，对方输入了一组8位数的密码，选择恢复数据选项，按确定按钮后，程序提示数据恢复成功。但是，另对方也十分意外的是，硬盘中出现了很多文件夹，但都是乱码。
对方问我们是否改动过文件。我说我们请电脑公司的人来看过，可能删除了一个0字节的文件。对方说如果没后改动，密码清零后应该可以正确无误地恢复硬盘所有的数据。因为我们的改动，他需要求助他们的同事，请我们等待一会儿。过了大概3分钟，他打开了注册表编辑器，导出了HKEY_LOCAL_MACHINE整个分支，并将这个文件（25M大小）传给了自己（由于注册表内大量信息，我很担心他的这个举动）。在传送文件的12分钟的时间，他说因为改动，给他们的恢复工作带来了点困难，但并不是不能恢复，只是需要一点时间对我们的注册表进行分析和解开 。我们一直等到大概6点20分，对方还是没有完成。于是他说：“今天可能完不成，叫我们明天继续”后来因为明天我们公休，我们约定在后天，也就是26日星期日，再联系。而且对方承诺后天直接发解密程序给我（估计又是一个木马），并会通过QQ远程协助，指导我们恢复数据。

以我的推断，这个勒索软件可能是第一代勒索软件如REDPLUS变种，隐藏文件的方式更隐蔽，加密手段更厉害，在加密硬盘后删除了自己或仍然隐藏的很好。但你只要付钱，对方就会给你解密，所以你也是受害者，想要恢复数据就最好不要做任何企图还原的操作。讲下价格，直接给钱。尽管他们一再声称自己是正规的公司，是我们自己的疏忽才导致硬盘数据丢失的。但他们一直不肯提供电话，QQ的IP地域也一直在变动，前后的言语漏洞百出，明显是想隐藏自己，种种迹象表明对方是见不得阳光的“吃技术饭”的人。

以上是本次事件今日的全部进展。预知最终结果，我本周日在来汇报。补充一点，下午收到了瑞星公司的回信，告知我寄出的样本没有病毒特征。


11月26日上午8：50
今天我和其他同事8:15就来到单位，备份了一些尚在的数据后就上QQ等待对方的出现（我们约好是8:30再联系的）可是半小时过去了，对方还是杳无音信。事情至此，我们已经放弃了所有的希望，只好咽下这个苦果了。

到了早上10点11分，我们正在忙碌地备份电脑中其他有用的数据，对方的QQ贼心不死，又来钓鱼。一个技术服务QQ声称，今天是星期日加班，解密的工作量又较大，只要我们再支付给他50元小费就立刻给我们解密软件。我们当然不会再对他报有哪怕一丝丝的希望，但是还是强忍这愤懑和他讨价还价，因为警方告诉我们知道对方有索要钱财的举动，就应该尽量和对方对话，聊天记录将被取证备案。而且受害人的支付凭证也是非常重要的证据，去报案的时候一定要提供。而且你受到不法分子使用勒索软件的侵害后，一定要报案，提供对方的QQ号、聊天记录，硬盘资料被毁后的照片或截图以及汇款的单据。法网恢恢疏而不漏，这帮LJ迟早会受到报应的。


事件总结

纵观本次受敲诈勒索事件的前后，结合霏凡网友们的观点我觉得有后以下几点需要总结：
1、工作电脑的备份是重中之重，受害人的电脑有DVD-RW刻录机和USB硬盘等备份工具，可是其本人却盲目认为病毒只会攻击C盘，只对C盘系统做了一健恢复。对存有重要数据的其他驱动器却没有防护，属于本末倒置。为她配了外置备份工具却被其当作菩萨供奉在那里，令人啼笑皆非。因此，以后所有的工作电脑都要做好数据的机外备份和异地备份，千万不能怕麻烦。
2、 重要的工作电脑和存放敏感信息的电脑还是不能连入公网。由于管理的不严格，配备了双网隔离的财务电脑却在公网下办公。内网几乎不进入。又是至安全规范于不顾。虽然公网查询资料、使用网络资源和联系外界方便，但安全永远是首要因素。不然也每必要作双网隔离了。（使用DMZ隔离我们单位还没这个人力和物力条件）
3、要有好的上网习惯，不要冒险使用来路不明类的破解、盗版软件（个人电脑除外）。工作电脑还是要使用正版软件。像受害人的电脑上就不应该有名目繁多的显IP的QQ版本、影音播放器、下载工具等杂七杂八的东西。不要让防火墙行同虚设，对所有的跳出警告一律放行或索性关闭防火墙。不要依赖防毒软件，以为装了防毒就万事大吉，可以高枕无忧了。电脑的金钟罩除了物理隔离没有第二种方法了。
4、不要对单位的电脑技术员绝对信任。由于我单位受害的财务人员使用电脑的基础较薄弱，她的电脑里和财务软件的里里外外几乎都被外人知道的一清二楚。虽然我很相信为我单位提供了3年技术服务的那个小伙子的人品和信誉度，但被外部人员攻击的可能性也不能完全排除。
5、对于搞IT工作和网络安全工作的人员来说，要充分发挥自己的作用。现在很多领导不重视网络安全和信息管理工作，认为这个工作可有可无。其实威胁信息安全的因素无处不在，你必须让上司明白安全管理除了传统的消防安全和综合治理安全外，信息安全也是安全管理的重要一环。必须要向上司灌输现今时期，安全的定义已经被扩展到无形的领域。必须要引起足够的重视。本次事件后，单位就立刻同意拨款8-10万，着手改造网络，增加DMZ设施、服务器、防火墙以及其他必要的软件，并聘请安全顾问定期检查单位的安全状况。要知道在未发生此事之前，单位对此类要求置若罔闻，说起来重要，忙起来就次要，做起来就不要了。毕竟一下子要投入10几万元还是蛮大的开销。但我在此还是建议要进行此类投入，一次性的不行，就分批投入。
===========================================================