亚博平台注册登录腾讯反病毒实验室:WannaCry现黑

  网易科技讯5月17日消息,Wannacry病毒在刚刚过去的周末上演了一场计算机领域的“生化危机”,它通过MS17-010漏洞在全球范围内大爆发,感染了大量的计算机。被感染后,大量重要文件被加密,导致中毒用户损失十分惨重。腾讯反病毒实验室方面称…▪-△=,通过对病毒作者提供的比特币账户进行监控,发现截至发稿为止已有约200个受害者付款,价值37w人民币的比特币被转到黑客账户◁▼★▪◇。而对于更多的受害者来说,目前面临的一个重要的问题,就是该不该付赎金。

  经过分析●…=,WannaCry病毒提供的赎回流程可能存在一个让受害者更加悲惨的漏洞,支付赎金的操作是一个和计算机弱绑定的操作▲…◁,并不能把受害计算机的付款事实传递给黑客。

  通俗点说◇◇☆□●•,即使黑客收到了赎金,他也无法准确知道是谁付的款,该给谁解密。比特币勒索的受害者对于支付赎金一定要慎重考虑,对于通过付款赎回被加密的文件☆=,不要抱太大的期望★▷◆▪▽○。

  更令人绝望的是◁▪▪,经过对比特币勒索变种持续监控•▽◆▷,分析人员还发现了“黑吃黑…▼▽■=”的现象,有其他黑客通过修改●★“原版Wannacry▪•▷△•▷”比特币钱包地址◁◇▷,做出了“改收钱地址版Wannacry▼▽▷•”重新进行攻击-=■●●○。而这一部分新的受害者支付的赎金,都进修改者的钱包,他们文件也基本不可能赎回了,因为他们■-“付错对象了”▪•◇◇▪。这里不免让人思考☆◁○◁●▷,所谓的☆▽“爆发版Wannacry☆=◇”作者是否也是通过修改别的黑客的钱包=-,而发起的这次攻击呢?不得而知▼▷▽,如果真是这样,也许付款的受害者只能等到海枯石烂了△▽▼▪。

  不得不承认此次WannaCry勒索病毒影响席卷全球,短期内被瞬间引爆○△=,但实际破坏性还不算大★◇▽,我们的研究和输出希望帮助大家理性了解并面对…◆■,并不希望被放大和恐慌●◆•-•。此次我们认为这次勒索病毒的作恶手法没有显着变化,亚博平台注册登录只是这次与微软漏洞结合▷▽。针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大网友不必太惊慌,关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对◇▲=●•=。我们也会继续追踪病毒演变。

  2、Check Payment用于上传被加密的key文件,服务器返回用于解密文件的key文件

  当受害者输入消息点击send后会遍历下面列表中的各个地址进行发送消息,由于接收信息的是暗网网址,因此国内受害者需要配置连接暗网环境(安装并配置Tor浏览器)。

  1○▪▽、00000000.res文件的前8个字节(Send信息图中红框内),其中00000000.res是暗网访问工具tor针对用户的一个信息标识文件

  2•★▷、计算机名和计算机账户名(Send信息图中橙色框内)对应的获取代码如下图

  Check Payment点击后会先检测服务器是否可以连通,如果不可以连通会提示如下信息

  1、00000000.res文件的前8个字节,和send信息一致(红色框内)

  服务器会根据内容中发送的res前8个字节★●、计算机名和计算机账户名等信息确认受害者是否已经付过款,如果没有付款服务器返回失败,病毒提示如下信息

  告知受害者没有付款或者病毒作者没有确认,最佳的确认时间是GMT时间上午9点到上午11点。

  如果确认已经付款就会把00000000▼▷▼.eky文件进行解密并返回,病毒接收到服务器的返回会在受害计算机上生成用于解密文件的key文件00000000.dky•●▲△,该文件会在Decrypt流程中使用到。

  点击Decrypt后会开启解密流程,解密就是读取从服务器上获取的解密key文件00000000.dky作为密钥▷▪,遍历计算机上被加密的文件,进行解密,如下图

  首先受害者需要通过Contact us告知病毒作者自己已经付款,这时病毒作者通过受害者发送消息时附加上传的tor key(00000000▪▷-.res前8个字节)、电脑名、电脑账户名等信息作为key值唯一标识受害者,如果通过受害者发送的消息(如比特币转账记录等)确认该受害者付过款,会在后台设置一个针对该受害者的开关,标识该受害者可以获取解密key文件。

  受害者等待一段时间后点击Check Payment▷◆-◇,这时病毒会上传受害者的tor key、电脑名▼★•、电脑账户名△•○▪、比特币转账地址等询问服务器该受害者是否被确认已经付款,然后病毒会上传受害者的一个带有被加密过的解密key文件(00000000.eky)到服务端▪=,服务端如果确认受害者已经付款会把上传上来的key文件解密,并返还给受害者(00000000.dky),然后提示可以解密。

  受害者点击Decrypt按钮进行解密,解密程序会读取本地已经从服务端获取的受害者解密key文件,对受害者机器上被加密的文件进行解密。

  因为比特币钱包是匿名的,而比特币的转账记录又是公开的,如果直接把比特币转账给了黑客◆=…,那么只能祈祷当你联系上他时,能够用语言来证明那钱是你转过去的。

  如果提前联系黑客呢?这个我们已经尝试好多天与黑客通过Contact us取得联系,音信全无。

  事情还没有结束,经过对Wannacry病毒的发展历程的研究,发现了…•▽☆“黑吃黑”的现象◁●-▪◁-,”冒牌黑客◁■•▽”通过修改◆▪▲“原版Wannacry”比特币钱包地址,做出了“改收钱地址版Wannacry□★☆☆▲◁”重新进行攻击。如其中一个“冒牌Wannacry-◇▷”就将收款地址修改为了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如图

  根据以上分析,这位转账受害者的文件是不可能赎回了,因为他的付款对象也不知道怎么赎回受害者的文件。