吃黑吃惊！ WannaCry勒索赎回之路艰难

Wannacry病毒在上周末在计算机领域上演了一场“生化危机”。 它通过MS17-010漏洞在全球范围内爆发，感染了大量计算机。 中毒后大量重要文件被加密，中毒用户损失惨重。 腾讯反病毒实验室对病毒作者提供的比特币账户进行监控发现，截至发稿，已有约200名受害者支付，价值37万元的比特币已转入黑客账户。 对于更多的受害者来说，他们目前面临的一个重要问题是是否支付赎金。

经分析，WannaCry病毒提供的赎回过程可能存在漏洞，让受害者更加痛苦。 支付赎金的操作是与计算机弱绑定的操作，无法将受害计算机的支付事实传递给黑客。

通俗地说，即使黑客收到了赎金，他也无法确切地知道是谁付了钱，又该由谁解密。 比特币勒索的受害者一定要慎重考虑支付赎金，不要对通过支付赎回加密文件抱有太大期望。

更令人绝望的是，分析人士在对比特币勒索病毒变种进行持续监测后，还发现了“黑吃黑”的现象，还有其他黑客通过修改“原Wannacry”比特币钱包地址进行“变现收钱”。 Address Edition Wannacry”再次出击。而这部分新受害者支付的赎金进入了modder的钱包，他们的文件基本上不可能被赎回，因为他们“付错人了”。让人不禁思考，所谓“Wannacry Explosion”的作者是否也通过修改其他黑客的钱包发起了这次攻击？不知道，如果是这样的话，也许支付的受害者只能等到海水干涸，岩石腐烂。

（腾讯安全反病毒实验室96小时勒索病毒监测图）

特别提示：

不得不承认，WannaCry勒索病毒的影响已经席卷全球，短时间内被瞬间引爆，但实际造成的损失并不算太大。 我们的研究和输出希望能帮助大家理性认识和面对，不希望被放大和恐慌。 这次我们认为勒索病毒的恶意手法没有明显变化，只是这次结合了微软的漏洞。 已经找到了针对勒索病毒的有效防御方法，病毒的传播自周一以来一直在减弱。 用户只要掌握正确的方法就可以避免。 广大网友无需恐慌。 关注腾讯安全联合实验室和腾讯电脑管家的研防计划，也呼吁业界理性应对。 我们也将继续追踪病毒的演变。

分析

病毒感染电脑后，会弹出支付框：

病毒弹出的支付框包括三个关键点

1.联系我们用于联系黑客

2. Check Payment用于上传加密密钥文件，服务器返回用于解密文件的密钥文件

3.Decrypt使用Check Payment得到的解密密钥文件在本机解密加密文件

联系我们

点击Contact Us后，会弹出一个文本框联系病毒作者

当受害者输入消息并点击发送时，它会遍历下面列表中的每个地址来发送消息。 由于信息的接收方是暗网地址，国内受害者需要配置连接暗网环境（安装配置Tor浏览器）。

gx7ekbenv2riucmf.onion

57g7spgrzlojinas.onion

xxlvbrloxvriy2c5.onion

76jdd2ir2embyv47.洋葱

cwwnhwhlz52maqm7.洋葱

发送内容

关键信息有以下几个部分

1. 00000000.res文件的前8个字节（发送信息图中红框内），其中00000000.res是暗网访问工具tor用户的信息标识文件

2、计算机名和计算机账户名对应的获取码（发送信息图中橙色框内）

3. 受害者发送的实际内容（在发送信息图中的绿色框中）：你好，这是一个发送测试

支票付款

点击Check Payment后，会先检查服务器是否可以连接，如果不能，会提示如下信息

受害者被告知检查“你能访问暗网吗”。

如果可以连接，则发送一条数据。

支票付款

关键信息有以下几个部分

1. 00000000.res文件前8个字节与发送信息一致（红框内）

2.计算机名称和计算机帐户名称与发送信息一致（橙色框内）

3.比特币转账地址（绿框内）

4. 转账金额（金色框内）：$600

5.加密密钥文件（00000000.eky）的内容

服务器会根据内容中发送的res的前8个字节、计算机名、计算机账户名等来确认受害者是否已经支付，如果没有支付，则服务器返回失败，病毒提示如下信息

告知受害者他们没有付款或病毒作者没有确认，确认的最佳时间是格林威治标准时间上午 9 点到 11 点之间。

如果确认支付成功，则解密并返回00000000.eky文件。 病毒收到服务器的返回后，会在受害计算机上生成用于解密文件的密钥文件00000000.dky。 该文件将用于解密过程。

解密

单击 Decrypt 后，解密过程将开始。 解密就是读取从服务器获取的解密密钥文件00000000.dky作为密钥，遍历电脑上的加密文件，进行解密。

过程

综上，受害者中毒后的救赎流程大致如下

首先比特币转账无效地址会退回来，受害者需要通过Contact us告知病毒作者他已经支付了费用。 此时，病毒作者在通过受害者发送消息时，将上传的tor密钥（00000000.res的前8个字节）、计算机名、计算机账户名等信息作为密钥附加上。 该值唯一标识受害者。 如果通过受害者发送的消息（如比特币转账记录等）确认受害者已经支付，后台会为受害者设置一个开关，表示受害者可以获得解密密钥文件。

受害者稍等片刻，然后点击“支票付款”。 此时病毒会上传受害者的tor密钥、计算机名、计算机账户名、比特币转账地址等，询问服务器是否确认受害者已经支付，然后病毒会上传受害者的一个加密的将解密密钥文件（00000000.eky）发送给服务器，如果服务器确认受害者已经付款，就会解密上传的密钥文件返回给受害者（00000000.dky），然后提示可以解密。

受害者点击Decrypt按钮进行解密，解密程序会读取从服务器本地获取的受害者解密密钥文件，在受害者机器上对加密后的文件进行解密。

问题

赎回问题的关键来了：

因为比特币钱包是匿名的，而比特币转账记录是公开的，如果你直接把比特币转给黑客，你只能祈祷当你联系到他时，你可以用语言来证明这笔钱是你转的。 过去的。

提前联系黑客怎么样？ 多日以来，我们一直试图通过Contact us与黑客取得联系，但始终没有任何消息。

综合以上信息，通过支付赎回的希望比较小。

黑吃黑

事情还没有结束。 在研究Wannacry病毒的发展过程后，发现了“黑吃黑”的现象。 “假黑客”修改了“原始Wannacry”比特币钱包地址，创建了一个“接收地址版本的Wannacry”。 》重新启动攻击。例如，其中一个“假Wannacry”将接收地址更改为18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV，

对该地址进行监控后发现，受害者已将资金转入该地址

根据以上分析，转账受害人的档案是无法赎回的，因为他的收款​​人并不知道如何赎回受害人的档案。

目前，针对已经感染病毒的电脑比特币转账无效地址会退回来，腾讯电脑管家推出了全新的文件恢复方案。 用户可以下载安装腾讯电脑管家勒索病毒查杀工具和文件恢复工具，按照以下步骤找回被锁定的文件。 文档。

1、发现感染勒索病毒后立即断网（拔网线或断开WiFi）。

2、电脑中毒后不能关机，不要惊慌和进行大量无效操作（如复制、创建、复制、粘贴等），不要打开任何文件、软件或程式。

3、通过其他电脑或手机，从腾讯电脑管家官网下载勒索病毒查杀工具和文件恢复工具，使用U盘直接复制到电脑上安装运行。

4、使用腾讯电脑管家的勒索杀毒工具进行病毒查杀。 杀毒完成后，可以运行文件恢复工具来恢复文件。

5、将恢复的文件复制到安全的U盘或移动硬盘中，然后重新安装系统。

据腾讯电脑管家安全团队测试，只要按照以上方法，其文件被恢复的概率最高！