ProPublica：不良业者宣称握有勒索软件解密技术，私下却以赎金向骇客换回档案

非营利组织ProPublica公布了一份调查报告，指出美国有两家专门提供资料救援服务的业者，虽然宣称握有勒索软件的解密技术，但在接获客户遭到勒索软件攻击的案件时，通常是直接支付赎金给骇客来了事。

遭到ProPublica点名的是Proven Data Recovery与MonsterCloud，这两家业者有许多共通点，包括都对外宣称握有最新技术，可协助勒索软件受害者解密档案，但它们却都选择直接与骇客交易，而且向客户索取的价格也都远高于赎金，与客户接洽的员工还都使用别名。

ProPublica在比特币追踪公司Chainalysis的协助下，发现从2017到2018年间，ProPublica总计汇出了4笔比特币款项到骇客的账号中。

有许多资安业者都呼吁受害者不要支付赎金，以免助长骇客士气，或是让勒索软件愈来愈猖獗，但也有不少受害企业情愿选择支付赎金。

事实上，坊间的确有一些企业专门代替勒索软件受害者与骇客协商，可替受害者杀价，或是帮受害者以比特币缴纳赎金。而ProPublica所抨击的则是Proven Data Recovery与MonsterCloud“挂羊头，卖狗肉”的行径。

因为有些企业因不想让骇客得逞，情愿支付比赎金更高的金额来换回档案，却又再被这些业者剥了另一层皮。

其实资安业者Checkpoint去年就曾戳破相关业者的手法。当时有一家俄罗斯业者Dr. Shifro宣称可替勒索软件受害者解密档案，Checkpoint即同时假扮成勒索软件骇客及受害者，以受害者身份向Dr. Shifro求助，发现两天后Dr. Shifro即去信向骇客杀价，且Dr. Shifro从中获得的利润不菲。

公开对外行销自己是透过与骇客交易取得解密金钥的Coveware首席执行官Bill Siegel认为，也许模糊自己解密资料的方式并不违法，但一定是不诚实且具掠夺性的，受害者有权知道他的钱付给谁了，他也建议受害者在向资料救援业者求助时，应该问清楚回复资料的方法与订价。