办事器会根据内容中发送的res前8个字节、计算机名和计算机账户名等信息确认受害者是否已经付过款,如不雅没有付款办事器返回掉败,病毒提示如下信息
如不雅确认已经付款就会把00000000.eky文件进行解密并返回,病毒接收到办事器的返回会在受害计算机上生采取于解密文件的key文件00000000.dky,该文件会在Decrypt流程中应用到。
告诉受害者没有付款或者病毒作者没有确认,最佳切实其实认时光是GMT时光上午9获得上午11点。
Decrypt
点击Decrypt后会开启解密流程,解密就是攫取大年夜办事器上获取的解密key文件00000000.dky作为密钥,遍历计算机上被加密的文件,进行解密,如下图
流程
综上分析,受害者中毒后的赎拒过程大年夜致如下
起首受害者须要经由过程Contact us告诉病毒作者本身已经付款,这时病毒作者经由过程受害者发送消息时附加上传的tor key(00000000.res前8个字节)、电脑名、电脑账户名等信息作为key值独一标识受害者,如不雅经由过程受害者发送的消息(如比特币转账记录等)确认该受害者付过款,会在后台设置一个针对该受害者的开关,标识该受害者可以获取解密key文件。
受害者等待一段时光后点击Check Payment,这时病毒会上传受害者的tor key、电脑名、电脑账户名、比特币转账地址等询问办事器该受害者是否被确认已经付款,然后病毒会上传受害者的一个带有被加密过的解密key文件(00000000.eky)到办事端,办事端如不雅确认受害者已经付款会把上传上来的key文件解密,并返还给受害者(00000000.dky),然后提示可以解密。
受害者点击Decrypt按钮进行解密,解密法度榜样会攫取本地已经大年夜办事端获取的受害者解密key文件,对受害者机械上被加密的文件进行解密。
问题
赎回问题的关键来了:
因为比特币钱包是匿名的,而比特币的转账记录又是公开的,如不雅直接把比特币转账给了黑客,那么只能祷告当你接洽上他时,可以或许用说话来证实那钱是你转以前的。
如不雅提前接洽黑客呢?这个我们已经测验测验很多多少天与黑客经由过程Contact us取得接洽,音信全无。
结合上述信息来看,经由过程付出赎回的欲望是比较小的。
黑吃黑
工作还没有停止,经由对Wannacry病毒的成长过程的研究,发清楚明了“黑吃黑”的现象,”冒牌黑客”经由过程修改“原版Wannacry”比特币钱包地址,做出了“改收钱地址版Wannacry”从新进行进击。如个一一个“冒牌Wannacry”就将收款地址修改为了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如图
经由对这个地址的监控,发明已有受害者向该地址转账
根据以上分析,这位转账受害者的文件是弗成能赎回了,因为他的付款对象也不知道怎么赎回受害者的文件。
【编辑推荐】
- 应对WannaCry/Wcry勒索病毒开机指南
- 【重大年夜发明】中招WannaCry, 真的可以还原数据!?
- 关于“wannacry”勒索软件的紧急预警
- 四川公安与亚信安然合营宣布WannaCry/Wcry勒索病毒预警
- 亚信安然专家做客搜狐,解读WannaCry勒索蠕虫!
推荐阅读
5月17日报道:一向被市平易近称为“大年夜路考”的驾考科目三正式实施周全进级更新。今天上午,在嘉定马陆驾校,正在测试中的驾考科目三计算机主动评判体系初次在实际应用中公开>>>详细阅读
地址:http://www.17bianji.com/lsqh/35311.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示