自勒索病毒W(wǎng)annacry本月12日開始爆發(fā)后,已經(jīng)蔓延到全球上百座城市以及感染了數(shù)十萬臺(tái)機(jī)構(gòu)和個(gè)人電腦。
來自騰訊反病毒實(shí)驗(yàn)室的數(shù)據(jù)顯示,目前已有約200個(gè)受害者付款,價(jià)值37萬元的比特幣被轉(zhuǎn)到黑客賬戶。而對(duì)于更多的受害者來說,亟待解答的一問題是,到底該不該付贖金。對(duì)于要不要付贖金這件事,目前有兩種觀點(diǎn):
一是付贖金,息事寧人。有報(bào)道稱,F(xiàn)BI給出了應(yīng)對(duì)此類事件的建議:支付贖金。雖然調(diào)查人員否認(rèn)了這一說法,但是根據(jù)5萬美元起的案件受理標(biāo)準(zhǔn)以及繁瑣的調(diào)查過程,付贖金似乎成了相對(duì)不錯(cuò)的選擇。
而另一種觀點(diǎn)是堅(jiān)決不付罰金,用法律來維護(hù)正義,比如受害者迪士尼。此前迪士尼CEO表示,公司即將上映的一部電影被盜。如果公司堅(jiān)決不付贖金的話,可能會(huì)面臨被“撕票”的情況。比如之前Netflix的10集電視劇就被黑客發(fā)布到了網(wǎng)上。
如果付了贖金,警察就能解決這件事嗎?拿美國拉斯維加斯來說,頻繁的黑客攻擊行為已經(jīng)超出了當(dāng)?shù)谾BI 處理能力,這也意味著他們不可能去調(diào)查每一起案件。而如果付了贖金,被盜的文件就能順利的解密被返回嗎?對(duì)于這一問題,真還不好說。
騰訊反病毒實(shí)驗(yàn)室分析認(rèn)為,贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時(shí)可能已經(jīng)被另一個(gè)黑客劫持,也就是我們通常說的“黑吃黑”。
付款贖回加密文件可行嗎?
騰訊反病毒實(shí)驗(yàn)室經(jīng)過分析,發(fā)現(xiàn)WannaCry病毒提供的贖回流程可能存在漏洞,支付贖金的操作是一個(gè)和計(jì)算機(jī)弱綁定的操作,并不能把受害計(jì)算機(jī)的付款情況傳遞給黑客。
簡(jiǎn)單說來,就是即使黑客收到了贖金,他也無法準(zhǔn)確知道是誰付的款,該給誰解密。比特幣勒索的受害者對(duì)于支付贖金一定要慎重考慮,對(duì)于通過付款贖回被加密的文件,不要抱太大的期望。下面就來看一下付款的一個(gè)過程:
病毒感染計(jì)算機(jī)后會(huì)彈出一個(gè)支付框:
病毒彈出的支付框中包括三個(gè)關(guān)鍵點(diǎn)
1、Contact Us 用于聯(lián)系黑客
2、Check Payment 用于上傳被加密的key文件,服務(wù)器返回用于解密文件的key文件
3、Decrypt 使用Check Payment獲取的解密key文件對(duì)機(jī)器上被加密的文件進(jìn)行解密
-
Contact US
Contact Us點(diǎn)擊后會(huì)彈出一個(gè)文本框,用于聯(lián)系病毒作者
當(dāng)受害者輸入消息點(diǎn)擊send后會(huì)遍歷下面列表中的各個(gè)地址進(jìn)行發(fā)送消息,由于接收信息的是暗網(wǎng)網(wǎng)址,因此國內(nèi)受害者需要配置連接暗網(wǎng)環(huán)境(安裝并配置Tor瀏覽器)。
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
發(fā)送的內(nèi)容如下圖
關(guān)鍵信息有以下幾部分
1、00000000.res文件的前8個(gè)字節(jié)(Send信息圖中紅框內(nèi)),其中00000000.res是暗網(wǎng)訪問工具tor針對(duì)用戶的一個(gè)信息標(biāo)識(shí)文件
2、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名(Send信息圖中橙色框內(nèi))對(duì)應(yīng)的獲取代碼如下圖
3、受害者發(fā)送的實(shí)際內(nèi)容(Send信息圖中綠色框內(nèi)):Hello this is a send test
-
Check Payment
Check Payment點(diǎn)擊后會(huì)先檢測(cè)服務(wù)器是否可以連通,如果不可以連通會(huì)提示如下信息
告知受害者檢查“是否可以訪問暗網(wǎng)”。
可以連通則發(fā)送了一段數(shù)據(jù),如下圖
Check Payment
關(guān)鍵信息有以下幾部分
1、00000000.res文件的前8個(gè)字節(jié),和send信息一致(紅色框內(nèi))
2、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名,和send信息一致(橙色框內(nèi))
3、比特幣轉(zhuǎn)賬地址(綠色框內(nèi))
4、需轉(zhuǎn)賬金額(金色框內(nèi)):$600
5、被加密過的key文件(00000000.eky)的內(nèi)容
服務(wù)器會(huì)根據(jù)內(nèi)容中發(fā)送的res前8個(gè)字節(jié)、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名等信息確認(rèn)受害者是否已經(jīng)付過款,如果沒有付款服務(wù)器返回失敗,病毒提示如下信息
告知受害者沒有付款或者病毒作者沒有確認(rèn),最佳的確認(rèn)時(shí)間是GMT時(shí)間上午9點(diǎn)到上午11點(diǎn)。
如果確認(rèn)已經(jīng)付款就會(huì)把00000000.eky文件進(jìn)行解密并返回,病毒接收到服務(wù)器的返回會(huì)在受害計(jì)算機(jī)上生成用于解密文件的key文件00000000.dky,該文件會(huì)在Decrypt流程中使用到。
-
Decrypt
點(diǎn)擊Decrypt后會(huì)開啟解密流程,解密就是讀取從服務(wù)器上獲取的解密key文件00000000.dky作為密鑰,遍歷計(jì)算機(jī)上被加密的文件,進(jìn)行解密,如下圖
-
流程
綜上分析,受害者中毒后的贖回過程大致如下
首先受害者需要通過Contact us告知病毒作者自己已經(jīng)付款,這時(shí)病毒作者通過受害者發(fā)送消息時(shí)附加上傳的tor key(00000000.res前8個(gè)字節(jié))、電腦名、電腦賬戶名等信息作為key值唯一標(biāo)識(shí)受害者,如果通過受害者發(fā)送的消息(如比特幣轉(zhuǎn)賬記錄等)確認(rèn)該受害者付過款,會(huì)在后臺(tái)設(shè)置一個(gè)針對(duì)該受害者的開關(guān),標(biāo)識(shí)該受害者可以獲取解密key文件。
受害者等待一段時(shí)間后點(diǎn)擊Check Payment,這時(shí)病毒會(huì)上傳受害者的tor key、電腦名、電腦賬戶名、比特幣轉(zhuǎn)賬地址等詢問服務(wù)器該受害者是否被確認(rèn)已經(jīng)付款,然后病毒會(huì)上傳受害者的一個(gè)帶有被加密過的解密key文件(00000000.eky)到服務(wù)端,服務(wù)端如果確認(rèn)受害者已經(jīng)付款會(huì)把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。
受害者點(diǎn)擊Decrypt按鈕進(jìn)行解密,解密程序會(huì)讀取本地已經(jīng)從服務(wù)端獲取的受害者解密key文件,對(duì)受害者機(jī)器上被加密的文件進(jìn)行解密。
贖回問題的關(guān)鍵來了:因?yàn)楸忍貛佩X包是匿名的,而比特幣的轉(zhuǎn)賬記錄又是公開的,如果直接把比特幣轉(zhuǎn)賬給了黑客,那么只能祈禱當(dāng)你聯(lián)系上他時(shí),能夠用語言來證明那錢是你轉(zhuǎn)過去的。
如果提前聯(lián)系黑客呢?這個(gè)我們已經(jīng)嘗試好多天與黑客通過Contact us取得聯(lián)系,音信全無。
所以結(jié)合上述信息來看,通過支付贖回的希望是比較小的。
另一個(gè)黑客可能已經(jīng)“劫持”了你的贖金
事情還沒有結(jié)束,經(jīng)過對(duì)Wannacry病毒的發(fā)展歷程的研究,發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進(jìn)行攻擊。
如其中一個(gè)“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖
經(jīng)過對(duì)這個(gè)地址的監(jiān)控,發(fā)現(xiàn)已有受害者向該地址轉(zhuǎn)賬
根據(jù)以上分析,這位轉(zhuǎn)賬受害者的文件是不可能贖回了,因?yàn)樗母犊顚?duì)象也不知道怎么贖回受害者的文件。
自勒索病毒W(wǎng)annacry本月12日開始爆發(fā)后,已經(jīng)蔓延到全球上百座城市以及感染了數(shù)十萬臺(tái)機(jī)構(gòu)和個(gè)人電腦。
來自騰訊反病毒實(shí)驗(yàn)室的數(shù)據(jù)顯示,目前已有約200個(gè)受害者付款,價(jià)值37萬元的比特幣被轉(zhuǎn)到黑客賬戶。而對(duì)于更多的受害者來說,亟待解答的一問題是,到底該不該付贖金。對(duì)于要不要付贖金這件事,目前有兩種觀點(diǎn):
一是付贖金,息事寧人。有報(bào)道稱,F(xiàn)BI給出了應(yīng)對(duì)此類事件的建議:支付贖金。雖然調(diào)查人員否認(rèn)了這一說法,但是根據(jù)5萬美元起的案件受理標(biāo)準(zhǔn)以及繁瑣的調(diào)查過程,付贖金似乎成了相對(duì)不錯(cuò)的選擇。
而另一種觀點(diǎn)是堅(jiān)決不付罰金,用法律來維護(hù)正義,比如受害者迪士尼。此前迪士尼CEO表示,公司即將上映的一部電影被盜。如果公司堅(jiān)決不付贖金的話,可能會(huì)面臨被“撕票”的情況。比如之前Netflix的10集電視劇就被黑客發(fā)布到了網(wǎng)上。
如果付了贖金,警察就能解決這件事嗎?拿美國拉斯維加斯來說,頻繁的黑客攻擊行為已經(jīng)超出了當(dāng)?shù)谾BI 處理能力,這也意味著他們不可能去調(diào)查每一起案件。而如果付了贖金,被盜的文件就能順利的解密被返回嗎?對(duì)于這一問題,真還不好說。
騰訊反病毒實(shí)驗(yàn)室分析認(rèn)為,贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時(shí)可能已經(jīng)被另一個(gè)黑客劫持,也就是我們通常說的“黑吃黑”。
付款贖回加密文件可行嗎?
騰訊反病毒實(shí)驗(yàn)室經(jīng)過分析,發(fā)現(xiàn)WannaCry病毒提供的贖回流程可能存在漏洞,支付贖金的操作是一個(gè)和計(jì)算機(jī)弱綁定的操作,并不能把受害計(jì)算機(jī)的付款情況傳遞給黑客。
簡(jiǎn)單說來,就是即使黑客收到了贖金,他也無法準(zhǔn)確知道是誰付的款,該給誰解密。比特幣勒索的受害者對(duì)于支付贖金一定要慎重考慮,對(duì)于通過付款贖回被加密的文件,不要抱太大的期望。下面就來看一下付款的一個(gè)過程:
病毒感染計(jì)算機(jī)后會(huì)彈出一個(gè)支付框:
病毒彈出的支付框中包括三個(gè)關(guān)鍵點(diǎn)
1、ContactUs用于聯(lián)系黑客
2、CheckPayment用于上傳被加密的key文件,服務(wù)器返回用于解密文件的key文件
3、Decrypt使用CheckPayment獲取的解密key文件對(duì)機(jī)器上被加密的文件進(jìn)行解密
ContactUS
ContactUs點(diǎn)擊后會(huì)彈出一個(gè)文本框,用于聯(lián)系病毒作者
當(dāng)受害者輸入消息點(diǎn)擊send后會(huì)遍歷下面列表中的各個(gè)地址進(jìn)行發(fā)送消息,由于接收信息的是暗網(wǎng)網(wǎng)址,因此國內(nèi)受害者需要配置連接暗網(wǎng)環(huán)境(安裝并配置Tor瀏覽器)。
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
發(fā)送的內(nèi)容如下圖
關(guān)鍵信息有以下幾部分
1、00000000.res文件的前8個(gè)字節(jié)(Send信息圖中紅框內(nèi)),其中00000000.res是暗網(wǎng)訪問工具tor針對(duì)用戶的一個(gè)信息標(biāo)識(shí)文件
2、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名(Send信息圖中橙色框內(nèi))對(duì)應(yīng)的獲取代碼如下圖
3、受害者發(fā)送的實(shí)際內(nèi)容(Send信息圖中綠色框內(nèi)):Hellothisisasendtest
CheckPayment
CheckPayment點(diǎn)擊后會(huì)先檢測(cè)服務(wù)器是否可以連通,如果不可以連通會(huì)提示如下信息
告知受害者檢查“是否可以訪問暗網(wǎng)”。
可以連通則發(fā)送了一段數(shù)據(jù),如下圖
Check Payment
關(guān)鍵信息有以下幾部分
1、00000000.res文件的前8個(gè)字節(jié),和send信息一致(紅色框內(nèi))
2、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名,和send信息一致(橙色框內(nèi))
3、比特幣轉(zhuǎn)賬地址(綠色框內(nèi))
4、需轉(zhuǎn)賬金額(金色框內(nèi)):$600
5、被加密過的key文件(00000000.eky)的內(nèi)容
服務(wù)器會(huì)根據(jù)內(nèi)容中發(fā)送的res前8個(gè)字節(jié)、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名等信息確認(rèn)受害者是否已經(jīng)付過款,如果沒有付款服務(wù)器返回失敗,病毒提示如下信息
告知受害者沒有付款或者病毒作者沒有確認(rèn),最佳的確認(rèn)時(shí)間是GMT時(shí)間上午9點(diǎn)到上午11點(diǎn)。
如果確認(rèn)已經(jīng)付款就會(huì)把00000000.eky文件進(jìn)行解密并返回,病毒接收到服務(wù)器的返回會(huì)在受害計(jì)算機(jī)上生成用于解密文件的key文件00000000.dky,該文件會(huì)在Decrypt流程中使用到。
Decrypt
點(diǎn)擊Decrypt后會(huì)開啟解密流程,解密就是讀取從服務(wù)器上獲取的解密key文件00000000.dky作為密鑰,遍歷計(jì)算機(jī)上被加密的文件,進(jìn)行解密,如下圖
流程
綜上分析,受害者中毒后的贖回過程大致如下
首先受害者需要通過Contactus告知病毒作者自己已經(jīng)付款,這時(shí)病毒作者通過受害者發(fā)送消息時(shí)附加上傳的torkey(00000000.res前8個(gè)字節(jié))、電腦名、電腦賬戶名等信息作為key值唯一標(biāo)識(shí)受害者,如果通過受害者發(fā)送的消息(如比特幣轉(zhuǎn)賬記錄等)確認(rèn)該受害者付過款,會(huì)在后臺(tái)設(shè)置一個(gè)針對(duì)該受害者的開關(guān),標(biāo)識(shí)該受害者可以獲取解密key文件。
受害者等待一段時(shí)間后點(diǎn)擊CheckPayment,這時(shí)病毒會(huì)上傳受害者的torkey、電腦名、電腦賬戶名、比特幣轉(zhuǎn)賬地址等詢問服務(wù)器該受害者是否被確認(rèn)已經(jīng)付款,然后病毒會(huì)上傳受害者的一個(gè)帶有被加密過的解密key文件(00000000.eky)到服務(wù)端,服務(wù)端如果確認(rèn)受害者已經(jīng)付款會(huì)把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。
受害者點(diǎn)擊Decrypt按鈕進(jìn)行解密,解密程序會(huì)讀取本地已經(jīng)從服務(wù)端獲取的受害者解密key文件,對(duì)受害者機(jī)器上被加密的文件進(jìn)行解密。
贖回問題的關(guān)鍵來了:因?yàn)楸忍貛佩X包是匿名的,而比特幣的轉(zhuǎn)賬記錄又是公開的,如果直接把比特幣轉(zhuǎn)賬給了黑客,那么只能祈禱當(dāng)你聯(lián)系上他時(shí),能夠用語言來證明那錢是你轉(zhuǎn)過去的。
如果提前聯(lián)系黑客呢?這個(gè)我們已經(jīng)嘗試好多天與黑客通過Contactus取得聯(lián)系,音信全無。
所以結(jié)合上述信息來看,通過支付贖回的希望是比較小的。
另一個(gè)黑客可能已經(jīng)“劫持”了你的贖金
事情還沒有結(jié)束,經(jīng)過對(duì)Wannacry病毒的發(fā)展歷程的研究,發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進(jìn)行攻擊。
如其中一個(gè)“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖
經(jīng)過對(duì)這個(gè)地址的監(jiān)控,發(fā)現(xiàn)已有受害者向該地址轉(zhuǎn)賬
根據(jù)以上分析,這位轉(zhuǎn)賬受害者的文件是不可能贖回了,因?yàn)樗母犊顚?duì)象也不知道怎么贖回受害者的文件。