“只是告诉一家医院他们不能支付赎金而不做任何补救措施，我很难理解这个概念。你希望他们怎么做，就这么被锁着等死吗？”

较大的黑客团体建立了呼叫中心，帮助受害者了解获得加密货币的复杂过程，他们承诺对那些及时付款的人给予折扣。

这个黑客集团在一封告别信中写道：“我们是一个活生生的证据，证明你可以作恶并逍遥法外”。

一个网络犯罪集团发布关于骗子的警告，这让明德感到好笑。

Rachel Monroe在《纽约客》发表文章，称勒索软件大行其道，他们有组织有纪律，还注重提升自己的公众形象，俨然一家专业的技术公司，另一方面，专门负责与黑客谈判勒索金额的专家却并不受人欢迎，他们的谈判似乎是对黑客的妥协。

受害公司往往更愿意求助于高科技的破解公司，然而，随着记者调查的深入，发现所谓的高科技公司不过就是私下与黑客谈好勒索金拿到解锁密码而已，顺便还能挣个差价，有经济学家表示，杜绝黑客勒索已是不可能，能把勒索事件限定在“可控”范围里，便是最好的结果了。

去年感恩节后几天，科特斯·明德收到一个人的信息，此人位于纽约州北部的小型建筑工程公司被黑客攻击了。明德和他的安全公司GroupSense现在经常收到这样的电话和电子邮件，其中许多都带着恐慌的情绪。酿酒厂、印刷厂或网页设计公司的员工某天早上去上班时，发现所有的电脑文件都被锁住了，而且有一张赎金字条要求支付加密货币才能解锁这些文件。

有些字条很有攻击性，“别把我们当傻瓜，我们对你的了解比你对自己的了解还要多”，有些则漫不经心，“哎呀，你的重要文件被加密了”，或假装道歉，如“我们很抱歉把你的所有文件被加密了”。

一些信息将他们的勒索行为说成是合法的商业交易，就好像黑客们进行了一次有益的安全审计：“先生们！你的业务面临严重风险，贵公司的安全系统有一个重大漏洞”。

这些留言通常还带着一个指向暗网网站的链接，暗网是互联网中需要特殊软件才能访问的部分，人们在那里做秘密的事情。当受害者进入该网站时，一个时钟跳了出来，标明他们必须在几天内完成赎金要求。时钟发出不祥地滴答声，就像动作片中连接炸弹的计时器，人们还可以通过一个聊天框与黑客进行对话。

在过去的一年里，勒索软件攻击的激增使一个艰难的时期变得更加困难。12月，联邦网络安全和基础设施安全局的代理局长表示，勒索软件“迅速成为一种国家紧急情况”。

黑客们袭击了疫苗制造商和研究实验室。医院无法访问化疗方案，学区被取消了课程，正在适应远程工作的公司发现自己在黑客面前变得更加脆弱。

5月，勒索软件组织DarkSide的攻击迫使Colonial Pipeline的管道网络关闭，这家公司向东海岸的大部分地区供应燃料。关闭推高了美国一些地区的汽油价格并导致了一连串的抢购，使人们注意到勒索软件有可能使关键基础设施瘫痪。

攻击发生一周后，Colonial Pipeline支付了440万美元的赎金使其系统重新上线，华盛顿特区80％的加油站仍然没有燃料。

FBI建议受害者避免与黑客谈判，称支付赎金会激励犯罪行为。这使受害者处于一个尴尬的位置。非营利性安全与技术研究所的首席执行官菲利普·莱纳告诉我：“只是告诉一家医院他们不能支付赎金而不做任何补救措施，我很难理解这个概念。你希望他们怎么做，就这么被锁着等死吗？”

不支付赎金的组织可能会花几个月时间重建他们的系统，如果客户数据作为攻击的一部分被盗和泄露，他们可能会被监管机构罚款。2018年，亚特兰大市拒绝支付约5万美元的赎金。但是，为了从攻击中恢复，它在危机公关、数字取证和咨询方面花费了200多万美元。

根据网络安全公司卡巴斯基的数据，当一起成为勒索软件案件成为新闻焦点，就会有更多的中小型公司愿意将入侵事件保密，其中一半以上的公司向黑客付了款。

在过去的一年里，今年四十四岁的明德一直以勒索软件谈判代表的身份介入公司和黑客之间的谈判，这一角色在几年前还不存在。六名勒索软件谈判专家，以及他们经常合作的保险公司，帮助人们在网络勒索的世界中指路。

但他们也被指责为教唆犯罪，为黑客付款提供便利。然而，随着勒索软件的增加，他们并不缺乏客户。明德温和而朴实，他的谈话中夹杂着自嘲的笑声，他已经成为一个意外情况的专家。他在3月份和我视频聊天时告诉我：“当我和你谈话的时候，我已经接到了两个电话。”

去年11月联系他的那名男子解释说，这次攻击是一个名为REvil的黑客集团所为，使公司的合同和建筑计划无法访问，文件每锁一天，员工就一天不能工作。明德说：“他们甚至没有一个IT人员。”

该公司没有网络保险政策。该男子解释说，他曾与佛罗里达州的一家公司联系过，该公司曾承诺解密文件，但现在那家公司已不再回复他的电子邮件。他希望明德公司与黑客进行谈判，以获得解密密钥。明德告诉我：“与我联系的人都很不高兴，他们非常、非常不安。”

明德小时候，他曾去他父亲工作的工厂看望他，工厂在伊利诺伊州中部，看着父亲吊起50磅重的面粉袋。他的母亲为州政府工作，坐在有空调的办公室里，喝着咖啡。他不太明白她的工作是什么，只知道它似乎涉及大量的打字。明德告诉我：“我当时想，不管打字是什么工作，这就是我想要的。”

大学毕业后，在90年代初，他在当地一家互联网服务提供商找到了一份技术支持工作。不到一年，他被提升为助理系统管理员，这项工作需要对服务器的日志进行监控。他开始注意到一个奇怪的模式，他最终明白那就是黑客进攻的证据。

他说：“他们会利用我们的路由器作为我们现在所说的支点，从路由器上跳出来攻击别人，所以攻击看起来像是来自我们自己。”

攻击者通常是一些业余爱好者，他们对炫耀自己的技术比对造成真正的破坏更感兴趣，明德发现这种猫捉老鼠能够满足黑客的成就感。

黑客们已经证明了他们可以造成严重的破坏。1989年，世界各地的两万名公共卫生研究人员收到一张软盘，称其中是一个关于艾滋病的项目信息，但其实该磁盘包含了一个恶意程序，这个案例被认为是第一个勒索软件的例子。

在用户重新启动他们的计算机90次后，屏幕上出现了一个文本框，通知他们文件被锁定。然后他们的打印机吐出一张赎金纸条，指示他们将189美元邮寄到巴拿马的一个邮政信箱。这个被称为“援助木马”的恶意软件，是由哈佛大学训练有素的进化生物学家约瑟夫·波普创建的。波普在被捕后行为越来越不稳定，被宣布为不适合受审，后来他在纽约州北部建立了一个蝴蝶保护区。

波普的策略是：用私人密钥加密文件并要求付费解锁。这种策略如今被勒索软件集团广为使用。但黑客们最初更倾向于采用一种被称为“恐吓软件”的方法，他们用病毒感染计算机，是计算机疯狂地弹出令人不安的信息：“安全警告！您的隐私和安全处于危险之中”。

这些弹出窗口告诉用户购买某种杀毒软件来保护他们的系统。冒充软件公司的黑客随后可以收到信用卡付款，而部署勒索软件的人则无法获得付款。在2000年初，勒索软件黑客通常以礼品卡或信用卡形式要求支付几百美元，而获得这些钱需要中间人，他们抽走了大部分利润。

随着2009年比特币的推出，结算赎金的方式发生了变化。现在，人们可以在不暴露身份的情况下接受数字付款，勒索软件的钱更好挣了。

2014年，当明德在弗吉尼亚州阿灵顿成立GroupSense时，每个人能想到的网络安全威胁是消费者数据泄露，比如银行账户信息或社会安全号码被盗。明德雇佣了会说俄语、乌克兰语和乌尔都语的分析员。他们冒充网络犯罪分子，潜伏在黑暗的网络市场上，查看谁在出售从企业网络中窃取的信息。

但是，随着安全系统的升级使数据泄露更具挑战性，网络犯罪分子越来越多地转向勒索软件。到2015年，联邦调查局估计，美国每天遭受一千次勒索软件攻击，第二年，这个数字翻了两番。网络保险公司Resilience的理赔负责人迈克·菲利普斯告诉我：“现在最严峻的是勒索软件，其他都是次要的。”

大多数勒索软件攻击的幕后推手是犯罪集团。在他们的在线互动中，看上去像是一群青少年和专业精神的合体：他们喜欢引用视频游戏和“邪恶”一词，但他们也采用了越来越复杂的商业结构。

较大的团体建立了呼叫中心，帮助受害者了解获得加密货币的复杂过程，他们承诺对那些及时付款的人给予折扣。

包括REvil在内的一些勒索软件集团采用联盟模式，为黑客提供部署攻击的工具，以换取利润分成。REvil还代表其附属机构处理赎金谈判。安全与技术研究所的莱纳告诉我：“进入这个领域太容易了，你或我都可以做，你只是把它租出去，整个过程已经出现了令人难以置信的商业化。”

黑客使用各种技术进入公司的计算机，从在电子邮件附件中嵌入恶意软件，到使用偷来的密码登录工人用来连接公司网络的远程桌面。许多集团的总部设在俄罗斯或前苏联加盟共和国，有时他们的恶意软件中会包含一段代码，如果计算机的语言被设置为俄语、白俄罗斯语或乌克兰语，就会停止对其的攻击。

一些集团雇佣了现任或前任军方成员，但他们似乎更关心金钱而不是地缘政治阴谋。一名自称是REvil代表的男子在接受俄罗斯YouTube主播采访时说：“我们是非政治性的，完全没有政治。我们不关心谁会成为总统。我们就是纯粹的工作而已。”

网络保险公司Resilience的理赔负责人菲利普斯告诉我：“支付赎金，你会担心它会成为世界另一端的暗网硅谷界的风险资本。”

2017年5月，WannaCry通过攻击旧的和未打补丁的微软Windows版本感染了三十万台电脑。在英国，救护车不得不从受影响的医院改道，一家雷诺工厂被迫停止生产。不过，就在那次攻击的三年后，REvil的代表称这种分散攻击的做法是“非常愚蠢的试验”。WannaCry的黑客要求的赎金只有三百到六百美元，净赚了大约十四万美元。

在WannaCry之后，勒索软件集团把注意力集中在那些安全松懈、经不起破坏、更有可能支付赎金，利润也更丰厚的行业——工业农业、中级制造业、油田服务和市政府。

犯罪集团将破坏的时间定在最脆弱的时期：学校是在8月，就在学生返校之前；会计师事务所是在纳税季节。某些集团专门从事“大型狩猎”，对财力雄厚的公司发动有针对性的攻击。部署Hades勒索软件的集团专注于收入超过10亿美元的企业。这款软件为每一个工种都定制了恶意软件。

2019年，在欧洲执法机构Europol举办的网络研讨会上，一位安全专家提到，加密货币Monero基本上是无法追踪的，之后不久，REvil开始要求用Monero而不是比特币支付赎金。

当公司没有表现出谈判意愿时，高管们会收到威胁性电话和领英信息。去年，金巴利集团发布了一份新闻稿，淡化了最近的一次勒索软件攻击。作为回应，黑客们在Facebook上发起了一个广告活动，利用他们也曾黑过的一位芝加哥DJ的个人资料来羞辱这家饮料集团。

他们写道：“这很荒唐，简直是一个弥天大谎，我们可以确认，机密数据被盗，而且我们说的是大量的数据。”

最近，犯罪集团在他们的剧本中增加了胁迫的内容。在加密系统之前，他们抽走机密文件；如果他们的赎金要求没有得到满足，他们威胁要向媒体公布敏感数据或在黑市上拍卖。黑客们曾威胁要公布一位高管的色情藏品，并对做空者分享不付赎金的人的下场。网络保险公司Resilience的理赔负责人菲利普斯说：“我见过一些社会工作机构，勒索软件威胁要曝光有关弱势儿童的信息。”

在勒索软件占据明德的生活之前，他已经养成了一种习惯。他步行去上班，通常他是第一个到公司，最后一个离开。在回家的路上，他在一家咖啡店停下来，喝杯酒，吃份沙拉。回到他独自居住的公寓，他将在办公桌前工作，直到他睡着。他的主要社交渠道是当地的摩托车俱乐部——华盛顿大都会的宝马摩托车俱乐部。

去年年初，GroupSense发现了一个黑客闯入一家大公司的证据。明德向这家公司发出了警报，但一台服务器已经被入侵了。黑客向该公司发送了一份赎金通知，威胁要公开其文件。

该公司问明德，他是否愿意处理赎金谈判。起初，他是拒绝的，他说：“我从未想过这是我的一项技能。”但最终他被说服了。

为了争取时间，明德建议该公司确认收到了赎金字条。他开始学习谈判技巧，观看美国在线教育平台MasterClass的教程并阅读前人质谈判专家的书籍。他了解到，他应该避免以整数提出还价，因为这看起来很随意，而且他不应该在没有提供理由的情况下做出让步。

在接下来的几周里，随着与黑客对话的展开，明德发现了谈判的关窍。他尽最大努力与黑客打交道，这位黑客似乎不属于任何勒索软件集团。当黑客抱怨他为闯入公司投入了多少时间和精力时，明德称赞了他的技能。

明德说：“我告诉他：‘你是一个非常有才华的黑客，我们愿意为此向你支付报酬。但我们付不起你所要求的报酬’。”

谈判非常耗精力。在一次与女友的摩托车露营旅行中，明德带着他的笔记本电脑蜷缩在篝火旁，使用3G来保持通话。最终，黑客同意了一个公司的保险公司认为可以接受的价格。

明德回忆说：“如果你再多给我一点时间，我可以让他的价格更低，但网络保险公司说，这已经很好了。”

明德很快接到了更多的工作。有时是一家面临数百万美元赎金要求的知名公司，谈判耗时数周。有时是一个小企业或非营利组织，他无偿承接，并争取用周末的时间完成。但GroupSense很少从谈判中赚钱，一些勒索软件的谈判者按赎金得到的折扣额收取一定比例的费用。

明德说：“那些挣钱的方法成为欺诈的温床，或成为欺诈本身。”

相反，他按小时收费，并希望他所帮助的一些组织能够注册使用GroupSense的核心产品——安全监控软件。

去年三月，GroupSense的办公室关闭后，明德在他45平米的公寓里踱来踱去。他说：“我当时想，我需要去旅行。”

他把两辆摩托车拖到科罗拉多州交界处的一个出租屋里。随着整个世界因疫情而崩溃，勒索软件案件不断涌现。

明德自己处理谈判，他不想让员工分心，而且他发现这项工作需要一定的情感技巧。他告诉我：“我们的大多数员工都是纯技术人员，但是谈判不是一种技术技能，而是一种软技能。很难对人们进行培训。”

最初的信息交流至关重要。受害者容易痛斥黑客，但这只会激怒他们。明德的目的是传达一种温暖但优越的态度，他解释道：“就像，我们是朋友，但你并不真正知道你自己在做什么。”

他的女朋友会说罗马尼亚语、俄语、乌克兰语和一些立陶宛语，她帮助他找到了能确定正确语气的口语。他喜欢称黑客为kuznechik，俄语是“蝗虫”。

偶尔，那些已经偏离了轨道的谈判会把明德叫进来救场。如果黑客觉得谈判进展太慢，或者他们感觉到自己被耍了，他们可能会切断通信。

根据前联邦调查局人质谈判专家、现为谈判顾问的克里斯·沃斯的说法，明德这招是通过模仿黑客的说话方式来建立“战术同理心”。

大多数时候，明德感觉自己是在和某个集团代表打交道。他告诉我：“你的第一个谈话对象就像是初级代表，他们会说‘我想和你合作，但我必须得到我经理的批准才能给予这种折扣’之类的话。”

GroupSense与区块链分析公司CipherTrace合作，这使得明德能够看到某个特定的加密钱包的创建，并追踪其交易。确定流入钱包的平均付款额可以让他了解到当前的汇率，这样他就可以避免支付过高的费用。他开始了解到，集团是按照固定流程工作的。他告诉我：“很多时候，我们可以在项目开始前，就告诉客户事情将如何发展。”

客户本身承受的压力很大，明德通过一个安全的门户网站，与他们进行沟通。有些人想编辑发给黑客的每条信息。明德说：“对他们来说，这就像一场间谍游戏，还有的人表现出愤怒或沮丧。有时你同时在两个方向进行谈判：与黑客和受害者谈判。你必须有一种人格类型，你必须有同理心，但也要以一种温和的方式给别人指导。”

明德已经看到压力和赎金要求在升级。根据勒索软件恢复专家Coveware的数据，2018年，平均付款约为七千美元。在2019年，它增长到四万一千美元。这一年，一个大型勒索软件集团宣布解散，在不到两年的时间里，它赚取了20亿美元的赎金支付。

该集团在一封告别信中写道：“我们是一个活生生的证据，证明你可以作恶并逍遥法外”。

安全与技术研究所的莱纳告诉我：“到2020年，平均赎金支付超过20万美元，一些网络保险公司开始退出市场。我不认为保险公司真正了解他们所承担的风险，2020年的数字真的很糟糕，但是，在2020年底，每个人看看周围的环境，都会得出2021年将会更糟糕的结论。”

日益猖獗的绑架案催生了从保险到保安的一系列市场

1971年，阿根廷一家肉类加工厂的一名英国经理被游击队劫持。几周后，在他的雇主支付了两万五千美元的赎金后，他被释放了。第二年，一家电子公司支付了两倍的赎金来救回一名被绑架的主管。1973年，中美洲的商人不断被绑架，他们的赎金也以惊人的速度增长。

可口可乐公司支付了100万美元，柯达公司支付了150万美元，英美烟草公司支付了170万美元，凡士通轮胎公司支付了300万美元。一位CEO的赎金高达230万美元，两年后他再次被绑架时，价格已经上升到1000万美元。

随后，一家跨国食品加工集团的继承人胡安和豪尔赫·博恩夫妇在一起阴谋中被绑架，犯罪团伙制造了假路牌，装扮成电话工人和警察。他们最终以六千万美元的价格被赎回，另外还有价值一百万美元分给穷人的衣服和食物。在哥伦比亚工作的美国经理古斯塔沃·柯蒂斯在1976年被绑架前不久被他的雇主告知，承担绑架风险是“一名高管的责任之一”。

在人类历史的大部分时间里，绑架在很大程度上是一种地方性事务，受一定程度的规则和互惠的制约。全球化、政治不稳定和日益加剧的不平等颠覆了这些规范。在意大利，犯罪团伙绑架富有的外国人和农民的孩子，有一年，有80人被劫持索要赎金。美国石油大亨约翰·保罗·盖蒂拒绝为他被绑架的孙子支付比他的缴税更多的赎金，据说他的税款是三百万美元。

1932年林德伯格婴儿被绑架和谋杀后，催生了“绑架赎金保险”，它的发展速度很快。1970年，市场规模约为15万美元，到1976年，市场规模为7000万美元。大多数保单都是由伦敦劳合社承保的，劳合社是世界上主要的专业保险市场。很快，出现了风险分析师，他们向投保人提供如何防止绑架的建议，私人保安公司提供实地保护，以及专业谈判人员，一旦事情变遭他们就会接受。

（注：林德伯格婴儿绑架案，1932年3月1日晚，绑匪从美国飞行员林德伯格位于新泽西的豪宅中绑走了他20个月大的儿子，并索赎金五万美元。尽管付出了赎金，71天后小查尔斯·林德伯格的尸体还是在离家不远的灌木丛中被发现。）

控制风险公司（Control Risks）成立于1975年，由前英国特种部队成员创建，旨在帮助保险业解决绑架问题。其管理人员以一种贵族式的谨慎态度开展工作。

1977年，该组织的两名创始成员在哥伦比亚被捕，当时没有人确定新生的谈判行业是否合法，他们在十周的拘留时间中为公司编写了一份行为准则。这些成员后来被无罪释放。

大约四分之三的财富500强公司最终投资了绑架保险，但对于一个通过向黑手党、恐怖组织和犯罪团伙输送资金而获利的行业，人们感到有些不舒服。1979年，控制风险公司的一位联合创始人告诉《纽约时报》：“人们觉得你不应该靠这个赚钱。意大利、哥伦比亚和英国都已经禁止了绑架和勒索保险。”

但伦敦大学国王学院的政治经济学教授安雅·肖特兰告诉我，私有化的绑架中介机构是建立她提出的“赎金纪律”的关键。控制风险公司不仅仅是就赎金进行谈判，它还提供安全审计，就如何防止员工被绑架向公司提出建议。

保险公司为加强安全的公司提供了低保费，从而降低了绑架事件的总体发生率。当绑架发生时，熟练的谈判人员使赎金要求不至于失控。如今，约有90%的绑架案通过支付赎金的方式得到解决，如果有专家参与，成功率会上升到97%。禁止绑架保险的国家会迫使谈判转入地下。

肖特兰专门研究犯罪的经济学问题。她告诉我：“经济学的很多内容是：让我们排除所有的复杂性，这样我们就可以得到一个可操作的方案。而我选择接受这些复杂性。”

为了更好地理解绑架勒索行业，她仔细研究了索马里的海盗和绑架市场，在那里她看到了私人保险公司、顾问和谈判者如何在这个不守规矩的行业中培养某种可预测性。一位谈判者告诉她：“这些事情有它的规矩和道义。“

肖特兰告诉我，这种建立在相互信任基础上有条不紊的状态，对各方都有好处。绑架者得到一个预期的回报，被绑架者可以合理地预期他们会被安全地释放，在危险地区的公司可以假设他们的员工不会被绑架，万一他们被绑架，也基本不会被杀害，毕竟保险公司和顾问还想挣钱呢。

Coveware公司的联合创始人比尔·西格尔告诉我，赎金软件比绑架的“动能影响”要小，也就是说，没有人会从邮件中发来切断的耳朵（注，之前提到的不愿意给孙子支付赎金的富豪收到了孙子的耳朵）。但是，对于经济学家来说，他们之间差异很小。肖特兰说：“赎金团伙正在创建与绑架勒索社区非常相似的机构，但他们大约落后80年。”

当勒索软件案件明显没有放缓时，明德培训了他的两名员工来处理谈判；其中一个是迈克·福勒，他是来自北卡罗来纳州的前缉毒侦探，卧底工作让福勒学会了如何进入角色，他告诉我：“这是成为一个有效谈判者的重要组成部分。”

去年11月，福勒是这家建筑工程公司的指定谈判员。当他登录暗网网站时，他注意到计时器显示谈判已经进行了三天。在聊天框中，有一段对话正在进行中。福勒说：“这让我很震惊，这是一个完整的谈判，虽然做得很差，但当时我看到的确实是一个完整的谈判。”

代表工程公司聊天的人显得很咄咄逼人。当黑客要求20万美元来解锁公司的文件时，谈判者起初还价到1万美元，然后迅速提高到1.4万美元，然后是2.5万美元。福勒说：“这向威胁行为者传达的信息是：我们可以支付更高的价钱。黑客们越来越失去耐心。他们写道：‘你申报了400万美元的年收入。我们对你的期望可不是这么一点点’。” 聊天记录中的最后一条信息是两天前黑客们发来的：“6.5万的价格，成交不？”

福勒和明德试图拼凑出发生了什么。客户坚持说他们从未去过黑客网站，更没有与黑客互动过。然后，福勒提醒明德注意最近黑客Revil在博客上发表的一篇文章，警告那些声称可以解密文件的骗子中间人，这些中间人会在加价提供解密文件之前与黑客进行秘密谈判。一个网络犯罪集团发布关于骗子的警告，这让明德感到好笑。客户承认，他们之前联系过一家佛罗里达州的叫MonsterCloud的公司，这家公司宣传自己是“世界领先的网络恐怖主义和勒索软件恢复专家”。

MonsterCloud的网站鼓励受害者使用其清除勒索软件的服务，而不是支付赎金。这种宣传可能吸引了工程公司的负责人，他们“非常非常爱国”，明德告诉我：“他们宁可向佛罗里达州的一家软件公司付款，也不愿意向外国犯罪集团支付赎金，这一点并不令我惊讶。”

明德很快了解到，在REvil黑客要求6.5万美元后不久，MonsterCloud的一名代表告诉工程公司，它可以以14.5万美元恢复文件。（MonsterCloud拒绝发表评论。）

根据非盈利调查组织ProPublica的报告，MonsterCloud在与黑客进行秘密谈判方面有着长期的记录。ProPublica采访了一些前客户，他们认为他们的文件在没有支付赎金的情况下被解锁了，尽管这种破解的情况是不大可能发生的，除非代码中存在错误，否则大多数都不可能被破解。

MonsterCloud是少数几家总部设在美国的数据恢复公司之一，它们似乎遵循差不多的商业模式。声称可以使用高科技工具解密文件，这些公司让他们的客户相信，赎金软件可以在不给犯罪集团勒索金的情况下得到解决，这种策略对MonsterCloud的公共资金客户，如市政当局或执法部门特别有吸引力。

勒索软件集团认识到，数据恢复公司可以成为能挣钱的合作伙伴，有一家公司专门为这些公司提供了一个促销代码。MonsterCloud拒绝与ProPublica讨论其方法。

该公司的首席执行官佐哈尔·平哈西告诉本刊：“我们在暗处工作。我们如何做，这是我们的问题。你会拿回你的数据。坐下来，放松，享受这段旅程。”

当明德向他的客户解释情况时，客户放出了一连串的脏话。因为谈判已经搞砸了，明德几乎没有机会让黑客再压低价格。客户要明德告诉黑客们去死吧，但明德说他“恭敬地拒绝了”。相反，该公司试图从备份和旧邮件中重建文件。明德鼓励客户调查漏洞是如何发生的，但该公司似乎不感兴趣。他告诉我：“他说他们的IT人员有自己的道理。”

明德向联邦贸易委员会报告了MonsterCloud，但这一事件仍让他耿耿于怀。他说：“如果你在谷歌上搜索，如何把我从勒索软件中拯救出来’或‘回应勒索软件’，你会发现这些公司基本上都在牟取暴利或欺诈性地歪曲自己的形象。它们令我感到恶心。”

去年10月，财政部外国资产控制办公室针对谈判人员、网络保险公司和事件响应团队发布了一项咨询，警告说他们可能会因为协助向犯罪分子付款而被罚款。

推特公司的前首席信息安全官迈克·康维迪诺告诉我：“他们做得很差，也许他们受到了挫折，但我认为这有点不负责任。让我们看看现实，如果你是一家价值20亿美元的公司，你被加密了，而且你没有良好的备份，他们拿走了你唯一的选择。他们等于摧毁了这个价值20亿美元的公司。”

财政部建议似乎有了效果，在2020年最后一个季度，支付赎金的勒索软件受害者的数量下降了。

作为回应，康维迪诺目前的雇主——网络保险公司Resilience参加了一个勒索软件工作组，该工作组包括来自主要网络安全供应商和谈判公司的代表，以及来自联邦调查局和国土安全部的代表，该工作组隶属于安全与技术研究所的旗下。

网络安全公司Palo Alto Networks的副总裁约翰·戴维斯在一次在线活动中说：“不要搞错了，我们的建议并不是要消除勒索软件的威胁，相反，目标是把它带到一个“可控可管理”水平。

这些建议包括要求向当局报告赎金支付情况，并建立一个基金来补偿不支付赎金的受害者。4月，司法部宣布，它正在组建自己的勒索软件工作组，以便在私营部门、其他联邦机构和国际合作伙伴之间进行协调。

与此同时，勒索软件集团一直在努力提升其形象。入侵Colonial Pipeline系统的黑客集团DarkSide，曾承诺不会攻击学校、医院、殡仪馆或非营利组织，它只针对大型企业。

10月，DarkSide发布了一份新闻稿，宣布它刚刚向两个慈善机构捐赠了1万美元的加密货币。

该集团写道：“无论你认为我们的工作有多糟糕，我们还是很高兴我们帮助改善了某些人的生活。”

但是使关键基础设施瘫痪带来了另一个层面的关注，并且有可能引起执法反应的严厉打击。DarkSide对造成的破坏表示道歉，并像一个受到责备的科技公司一样，承诺增加管控投资，“以避免未来的社会后果”。

几天后，该集团宣布其服务器已关闭，其比特币钱包被清空，这可能是执法行动的一个迹象。REvil似乎被负面报道吓坏了，宣布它将不再以政府、医疗和教育部门为攻击目标。

肖特兰认为这种美化品牌的行为是一件好事。她告诉我：“如果这完全是一种蝇营狗苟的行当，那么我可能会感到绝望，但做这种事的人还想做大做久，他们就会关心自己的声誉，这是市场可控的一个迹象。这并不意味着勒索软件会消失，至少，如果这种现象一定会存在，那把它们控制在一定的程度对大家都好。”