Wannacry病毒在方才以前的周末上演了一场计算机范畴的“生化危机”,它经由过程MS17-010马脚在全球范围内大年夜爆发,感染了大年夜量的计算机。被感染后,大年夜量重要文件被加密,导致中毒用户损掉十分惨重。腾讯反病毒实验室对病毒作者供给的比特币账户进行监控,发明截至发稿为止已有约200个受害者付款,价值37w人平易近币的比特币被转到黑客账户。而对于更多的受害者来说,今朝面对的一个重要的问题,就是该不该付赎金。
经由分析,WannaCry病毒供给的赎回流程可能存在一个让受害者加倍悲凉的马脚,付出赎金的操作是一个和计算机弱绑定的操作,并不克不及把受害计算机的付款事实传递给黑客。
通俗点说,即使黑客收到了赎金,他也无法精确知道是谁付的款,该给谁解密。比特币勒索的受害者对于付出赎金必定要慎重推敲,对于经由过程付款赎回被加密的文件,不要抱太大年夜的期望。
1、00000000.res文件的前8个字节,和send信息一致(红色框内)
更令人掉望的是,经由比较特币勒索变种持续监控,分析人员还发清楚明了“黑吃黑”的现象,有其他黑客经由过程修改“原版Wannacry”比特币钱包地址,做出了“改收钱地址版Wannacry”从新进行进击。而这一部分新的受害者付出的赎金,都进修改┞愤的钱包,他们文件也根本弗成能赎回了,因为他们“付错对象了”。这里不免让人思虑,所谓的“爆发版Wannacry”作者是否也是经由过程修改其余黑客的钱包,而提议的┞封次进击呢?不得而知,如不雅真是如许,也许付款的受害者只能比及海枯石烂了。
(腾讯安然反病毒实验室96小时勒索病毒监控图)
特别解释:
不得不承认此次WannaCry勒索病毒影响囊括全球,短期内被刹时引爆,但实际破坏性还不算大年夜,我们的研究和输出欲望赞助大年夜家理性懂得排场对,并不欲望被放大年夜和惊恐。此次我们认为此次勒索病毒的作恶手段没有明显变更,只是此次与微软马脚结合。针对勒索病毒已经找到了有效的防御办法,并且周一开端病毒传播已在减弱,用户只要控制精确的办法就可以避免,广大年夜网友不必太惊慌,存眷腾讯安然结合实验室和腾讯电脑管家的研究?桌御筹划,也呼吁行业理性应对。我们也会持续追踪病毒演变。
分析
病毒感染计算机后会弹出一个付出框:
病毒弹出的付出框中包含三个关键点
1、Contact Us 用于接洽黑客
2、Check Payment 用于上传被加密的key文件,办事器返回用于解密文件的key文件
3、Decrypt 应用Check Payment获取的解密key文件对机械上被加密的文件进行解密
Contact US
Contact Us点击后会弹出一个文本框,用于接洽病毒作者
当受害者输入消息点击send后会遍历下面列表中的各个地址进行发送消息,因为接收信息的是暗网网址,是以国内受害者须要设备连接暗网情况(安装并设备Tor浏览器)。
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
发送的内容如下图
关键信罕见以下几部分
1、00000000.res文件的前8个字节(Send信息图中红框内),个中00000000.res是暗网拜访对象tor针对用户的一个信息标识文件
2、计算机名和计算机账户名(Send信息图中橙色框内)对应的获代替码如下图
3、受害者发送的实际内容(Send信息图中绿色框内):Hello this is a send test
Check Payment
Check Payment点击后会先检测办事器是否可以连通,如不雅弗成以连通会提示如下信息
告诉受害者检查“是否可以拜访暗网”。
可以连公则发送了一段数据,如下图
gx7ekbenv2riucmf.onion
Check Payment
关键信罕见以下几部分
2、计算机名和计算机账户名,和send信息一致(橙色框内)
3、比特币转账地址(绿色框内)
4、需转账金额(金色框内):$600
5、被加密过的key文件(00000000.eky)的内容
推荐阅读
5月17日报道:一向被市平易近称为“大年夜路考”的驾考科目三正式实施周全进级更新。今天上午,在嘉定马陆驾校,正在测试中的驾考科目三计算机主动评判体系初次在实际应用中公开>>>详细阅读
地址:http://www.17bianji.com/lsqh/35311.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示