精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

責任編輯:editor004 作者:高小倩 |來源:企業網D1Net  2017-05-18 12:13:38 本文摘自:36kr

 

自勒索病毒Wannacry本月12日開始爆發后,已經蔓延到全球上百座城市以及感染了數十萬臺機構和個人電腦。

來自騰訊反病毒實驗室的數據顯示,目前已有約200個受害者付款,價值37萬元的比特幣被轉到黑客賬戶。而對于更多的受害者來說,亟待解答的一問題是,到底該不該付贖金。對于要不要付贖金這件事,目前有兩種觀點:

一是付贖金,息事寧人。有報道稱,FBI給出了應對此類事件的建議:支付贖金。雖然調查人員否認了這一說法,但是根據5萬美元起的案件受理標準以及繁瑣的調查過程,付贖金似乎成了相對不錯的選擇。

而另一種觀點是堅決不付罰金,用法律來維護正義,比如受害者迪士尼。此前迪士尼CEO表示,公司即將上映的一部電影被盜。如果公司堅決不付贖金的話,可能會面臨被“撕票”的情況。比如之前Netflix的10集電視劇就被黑客發布到了網上。

如果付了贖金,警察就能解決這件事嗎?拿美國拉斯維加斯來說,頻繁的黑客攻擊行為已經超出了當地FBI 處理能力,這也意味著他們不可能去調查每一起案件。而如果付了贖金,被盜的文件就能順利的解密被返回嗎?對于這一問題,真還不好說。

騰訊反病毒實驗室分析認為,贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時可能已經被另一個黑客劫持,也就是我們通常說的“黑吃黑”。

付款贖回加密文件可行嗎?

騰訊反病毒實驗室經過分析,發現WannaCry病毒提供的贖回流程可能存在漏洞,支付贖金的操作是一個和計算機弱綁定的操作,并不能把受害計算機的付款情況傳遞給黑客。

簡單說來,就是即使黑客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對于支付贖金一定要慎重考慮,對于通過付款贖回被加密的文件,不要抱太大的期望。下面就來看一下付款的一個過程:

病毒感染計算機后會彈出一個支付框:

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

病毒彈出的支付框中包括三個關鍵點

1、Contact Us  用于聯系黑客

2、Check Payment  用于上傳被加密的key文件,服務器返回用于解密文件的key文件

3、Decrypt 使用Check Payment獲取的解密key文件對機器上被加密的文件進行解密

  • Contact US

Contact Us點擊后會彈出一個文本框,用于聯系病毒作者

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

當受害者輸入消息點擊send后會遍歷下面列表中的各個地址進行發送消息,由于接收信息的是暗網網址,因此國內受害者需要配置連接暗網環境(安裝并配置Tor瀏覽器)。

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion

發送的內容如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

 關鍵信息有以下幾部分

1、00000000.res文件的前8個字節(Send信息圖中紅框內),其中00000000.res是暗網訪問工具tor針對用戶的一個信息標識文件

2、計算機名和計算機賬戶名(Send信息圖中橙色框內)對應的獲取代碼如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

3、受害者發送的實際內容(Send信息圖中綠色框內):Hello this is a send test

  • Check Payment

Check Payment點擊后會先檢測服務器是否可以連通,如果不可以連通會提示如下信息

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

告知受害者檢查“是否可以訪問暗網”。

可以連通則發送了一段數據,如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

Check Payment

關鍵信息有以下幾部分

1、00000000.res文件的前8個字節,和send信息一致(紅色框內)

2、計算機名和計算機賬戶名,和send信息一致(橙色框內)

3、比特幣轉賬地址(綠色框內)

4、需轉賬金額(金色框內):$600

5、被加密過的key文件(00000000.eky)的內容

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

服務器會根據內容中發送的res前8個字節、計算機名和計算機賬戶名等信息確認受害者是否已經付過款,如果沒有付款服務器返回失敗,病毒提示如下信息

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

告知受害者沒有付款或者病毒作者沒有確認,最佳的確認時間是GMT時間上午9點到上午11點。

如果確認已經付款就會把00000000.eky文件進行解密并返回,病毒接收到服務器的返回會在受害計算機上生成用于解密文件的key文件00000000.dky,該文件會在Decrypt流程中使用到。

  • Decrypt

點擊Decrypt后會開啟解密流程,解密就是讀取從服務器上獲取的解密key文件00000000.dky作為密鑰,遍歷計算機上被加密的文件,進行解密,如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

  • 流程

綜上分析,受害者中毒后的贖回過程大致如下

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

首先受害者需要通過Contact us告知病毒作者自己已經付款,這時病毒作者通過受害者發送消息時附加上傳的tor key(00000000.res前8個字節)、電腦名、電腦賬戶名等信息作為key值唯一標識受害者,如果通過受害者發送的消息(如比特幣轉賬記錄等)確認該受害者付過款,會在后臺設置一個針對該受害者的開關,標識該受害者可以獲取解密key文件。

受害者等待一段時間后點擊Check Payment,這時病毒會上傳受害者的tor key、電腦名、電腦賬戶名、比特幣轉賬地址等詢問服務器該受害者是否被確認已經付款,然后病毒會上傳受害者的一個帶有被加密過的解密key文件(00000000.eky)到服務端,服務端如果確認受害者已經付款會把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。

受害者點擊Decrypt按鈕進行解密,解密程序會讀取本地已經從服務端獲取的受害者解密key文件,對受害者機器上被加密的文件進行解密。

贖回問題的關鍵來了:因為比特幣錢包是匿名的,而比特幣的轉賬記錄又是公開的,如果直接把比特幣轉賬給了黑客,那么只能祈禱當你聯系上他時,能夠用語言來證明那錢是你轉過去的。

如果提前聯系黑客呢?這個我們已經嘗試好多天與黑客通過Contact us取得聯系,音信全無。

所以結合上述信息來看,通過支付贖回的希望是比較小的。

另一個黑客可能已經“劫持”了你的贖金

事情還沒有結束,經過對Wannacry病毒的發展歷程的研究,發現了“黑吃黑”的現象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進行攻擊。

如其中一個“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

經過對這個地址的監控,發現已有受害者向該地址轉賬

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

根據以上分析,這位轉賬受害者的文件是不可能贖回了,因為他的付款對象也不知道怎么贖回受害者的文件。

自勒索病毒Wannacry本月12日開始爆發后,已經蔓延到全球上百座城市以及感染了數十萬臺機構和個人電腦。

來自騰訊反病毒實驗室的數據顯示,目前已有約200個受害者付款,價值37萬元的比特幣被轉到黑客賬戶。而對于更多的受害者來說,亟待解答的一問題是,到底該不該付贖金。對于要不要付贖金這件事,目前有兩種觀點:

一是付贖金,息事寧人。有報道稱,FBI給出了應對此類事件的建議:支付贖金。雖然調查人員否認了這一說法,但是根據5萬美元起的案件受理標準以及繁瑣的調查過程,付贖金似乎成了相對不錯的選擇。

而另一種觀點是堅決不付罰金,用法律來維護正義,比如受害者迪士尼。此前迪士尼CEO表示,公司即將上映的一部電影被盜。如果公司堅決不付贖金的話,可能會面臨被“撕票”的情況。比如之前Netflix的10集電視劇就被黑客發布到了網上。

如果付了贖金,警察就能解決這件事嗎?拿美國拉斯維加斯來說,頻繁的黑客攻擊行為已經超出了當地FBI 處理能力,這也意味著他們不可能去調查每一起案件。而如果付了贖金,被盜的文件就能順利的解密被返回嗎?對于這一問題,真還不好說。

騰訊反病毒實驗室分析認為,贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時可能已經被另一個黑客劫持,也就是我們通常說的“黑吃黑”。

付款贖回加密文件可行嗎?

騰訊反病毒實驗室經過分析,發現WannaCry病毒提供的贖回流程可能存在漏洞,支付贖金的操作是一個和計算機弱綁定的操作,并不能把受害計算機的付款情況傳遞給黑客。

簡單說來,就是即使黑客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對于支付贖金一定要慎重考慮,對于通過付款贖回被加密的文件,不要抱太大的期望。下面就來看一下付款的一個過程:

病毒感染計算機后會彈出一個支付框:

病毒彈出的支付框中包括三個關鍵點

1、ContactUs用于聯系黑客

2、CheckPayment用于上傳被加密的key文件,服務器返回用于解密文件的key文件

3、Decrypt使用CheckPayment獲取的解密key文件對機器上被加密的文件進行解密

ContactUS

ContactUs點擊后會彈出一個文本框,用于聯系病毒作者

當受害者輸入消息點擊send后會遍歷下面列表中的各個地址進行發送消息,由于接收信息的是暗網網址,因此國內受害者需要配置連接暗網環境(安裝并配置Tor瀏覽器)。

gx7ekbenv2riucmf.onion

57g7spgrzlojinas.onion

xxlvbrloxvriy2c5.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion

發送的內容如下圖

關鍵信息有以下幾部分

1、00000000.res文件的前8個字節(Send信息圖中紅框內),其中00000000.res是暗網訪問工具tor針對用戶的一個信息標識文件

2、計算機名和計算機賬戶名(Send信息圖中橙色框內)對應的獲取代碼如下圖

3、受害者發送的實際內容(Send信息圖中綠色框內):Hellothisisasendtest

CheckPayment

CheckPayment點擊后會先檢測服務器是否可以連通,如果不可以連通會提示如下信息

告知受害者檢查“是否可以訪問暗網”。

可以連通則發送了一段數據,如下圖

Check Payment

關鍵信息有以下幾部分

1、00000000.res文件的前8個字節,和send信息一致(紅色框內)

2、計算機名和計算機賬戶名,和send信息一致(橙色框內)

3、比特幣轉賬地址(綠色框內)

4、需轉賬金額(金色框內):$600

5、被加密過的key文件(00000000.eky)的內容

服務器會根據內容中發送的res前8個字節、計算機名和計算機賬戶名等信息確認受害者是否已經付過款,如果沒有付款服務器返回失敗,病毒提示如下信息

告知受害者沒有付款或者病毒作者沒有確認,最佳的確認時間是GMT時間上午9點到上午11點。

如果確認已經付款就會把00000000.eky文件進行解密并返回,病毒接收到服務器的返回會在受害計算機上生成用于解密文件的key文件00000000.dky,該文件會在Decrypt流程中使用到。

Decrypt

點擊Decrypt后會開啟解密流程,解密就是讀取從服務器上獲取的解密key文件00000000.dky作為密鑰,遍歷計算機上被加密的文件,進行解密,如下圖

流程

綜上分析,受害者中毒后的贖回過程大致如下

首先受害者需要通過Contactus告知病毒作者自己已經付款,這時病毒作者通過受害者發送消息時附加上傳的torkey(00000000.res前8個字節)、電腦名、電腦賬戶名等信息作為key值唯一標識受害者,如果通過受害者發送的消息(如比特幣轉賬記錄等)確認該受害者付過款,會在后臺設置一個針對該受害者的開關,標識該受害者可以獲取解密key文件。

受害者等待一段時間后點擊CheckPayment,這時病毒會上傳受害者的torkey、電腦名、電腦賬戶名、比特幣轉賬地址等詢問服務器該受害者是否被確認已經付款,然后病毒會上傳受害者的一個帶有被加密過的解密key文件(00000000.eky)到服務端,服務端如果確認受害者已經付款會把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。

受害者點擊Decrypt按鈕進行解密,解密程序會讀取本地已經從服務端獲取的受害者解密key文件,對受害者機器上被加密的文件進行解密。

贖回問題的關鍵來了:因為比特幣錢包是匿名的,而比特幣的轉賬記錄又是公開的,如果直接把比特幣轉賬給了黑客,那么只能祈禱當你聯系上他時,能夠用語言來證明那錢是你轉過去的。

如果提前聯系黑客呢?這個我們已經嘗試好多天與黑客通過Contactus取得聯系,音信全無。

所以結合上述信息來看,通過支付贖回的希望是比較小的。

另一個黑客可能已經“劫持”了你的贖金

事情還沒有結束,經過對Wannacry病毒的發展歷程的研究,發現了“黑吃黑”的現象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進行攻擊。

如其中一個“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖

經過對這個地址的監控,發現已有受害者向該地址轉賬

根據以上分析,這位轉賬受害者的文件是不可能贖回了,因為他的付款對象也不知道怎么贖回受害者的文件。

關鍵字:病毒作者Netflix

本文摘自:36kr

x 勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫? 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

責任編輯:editor004 作者:高小倩 |來源:企業網D1Net  2017-05-18 12:13:38 本文摘自:36kr

 

自勒索病毒Wannacry本月12日開始爆發后,已經蔓延到全球上百座城市以及感染了數十萬臺機構和個人電腦。

來自騰訊反病毒實驗室的數據顯示,目前已有約200個受害者付款,價值37萬元的比特幣被轉到黑客賬戶。而對于更多的受害者來說,亟待解答的一問題是,到底該不該付贖金。對于要不要付贖金這件事,目前有兩種觀點:

一是付贖金,息事寧人。有報道稱,FBI給出了應對此類事件的建議:支付贖金。雖然調查人員否認了這一說法,但是根據5萬美元起的案件受理標準以及繁瑣的調查過程,付贖金似乎成了相對不錯的選擇。

而另一種觀點是堅決不付罰金,用法律來維護正義,比如受害者迪士尼。此前迪士尼CEO表示,公司即將上映的一部電影被盜。如果公司堅決不付贖金的話,可能會面臨被“撕票”的情況。比如之前Netflix的10集電視劇就被黑客發布到了網上。

如果付了贖金,警察就能解決這件事嗎?拿美國拉斯維加斯來說,頻繁的黑客攻擊行為已經超出了當地FBI 處理能力,這也意味著他們不可能去調查每一起案件。而如果付了贖金,被盜的文件就能順利的解密被返回嗎?對于這一問題,真還不好說。

騰訊反病毒實驗室分析認為,贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時可能已經被另一個黑客劫持,也就是我們通常說的“黑吃黑”。

付款贖回加密文件可行嗎?

騰訊反病毒實驗室經過分析,發現WannaCry病毒提供的贖回流程可能存在漏洞,支付贖金的操作是一個和計算機弱綁定的操作,并不能把受害計算機的付款情況傳遞給黑客。

簡單說來,就是即使黑客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對于支付贖金一定要慎重考慮,對于通過付款贖回被加密的文件,不要抱太大的期望。下面就來看一下付款的一個過程:

病毒感染計算機后會彈出一個支付框:

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

病毒彈出的支付框中包括三個關鍵點

1、Contact Us  用于聯系黑客

2、Check Payment  用于上傳被加密的key文件,服務器返回用于解密文件的key文件

3、Decrypt 使用Check Payment獲取的解密key文件對機器上被加密的文件進行解密

  • Contact US

Contact Us點擊后會彈出一個文本框,用于聯系病毒作者

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

當受害者輸入消息點擊send后會遍歷下面列表中的各個地址進行發送消息,由于接收信息的是暗網網址,因此國內受害者需要配置連接暗網環境(安裝并配置Tor瀏覽器)。

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion

發送的內容如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

 關鍵信息有以下幾部分

1、00000000.res文件的前8個字節(Send信息圖中紅框內),其中00000000.res是暗網訪問工具tor針對用戶的一個信息標識文件

2、計算機名和計算機賬戶名(Send信息圖中橙色框內)對應的獲取代碼如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

3、受害者發送的實際內容(Send信息圖中綠色框內):Hello this is a send test

  • Check Payment

Check Payment點擊后會先檢測服務器是否可以連通,如果不可以連通會提示如下信息

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

告知受害者檢查“是否可以訪問暗網”。

可以連通則發送了一段數據,如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

Check Payment

關鍵信息有以下幾部分

1、00000000.res文件的前8個字節,和send信息一致(紅色框內)

2、計算機名和計算機賬戶名,和send信息一致(橙色框內)

3、比特幣轉賬地址(綠色框內)

4、需轉賬金額(金色框內):$600

5、被加密過的key文件(00000000.eky)的內容

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

服務器會根據內容中發送的res前8個字節、計算機名和計算機賬戶名等信息確認受害者是否已經付過款,如果沒有付款服務器返回失敗,病毒提示如下信息

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

告知受害者沒有付款或者病毒作者沒有確認,最佳的確認時間是GMT時間上午9點到上午11點。

如果確認已經付款就會把00000000.eky文件進行解密并返回,病毒接收到服務器的返回會在受害計算機上生成用于解密文件的key文件00000000.dky,該文件會在Decrypt流程中使用到。

  • Decrypt

點擊Decrypt后會開啟解密流程,解密就是讀取從服務器上獲取的解密key文件00000000.dky作為密鑰,遍歷計算機上被加密的文件,進行解密,如下圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

  • 流程

綜上分析,受害者中毒后的贖回過程大致如下

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

首先受害者需要通過Contact us告知病毒作者自己已經付款,這時病毒作者通過受害者發送消息時附加上傳的tor key(00000000.res前8個字節)、電腦名、電腦賬戶名等信息作為key值唯一標識受害者,如果通過受害者發送的消息(如比特幣轉賬記錄等)確認該受害者付過款,會在后臺設置一個針對該受害者的開關,標識該受害者可以獲取解密key文件。

受害者等待一段時間后點擊Check Payment,這時病毒會上傳受害者的tor key、電腦名、電腦賬戶名、比特幣轉賬地址等詢問服務器該受害者是否被確認已經付款,然后病毒會上傳受害者的一個帶有被加密過的解密key文件(00000000.eky)到服務端,服務端如果確認受害者已經付款會把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。

受害者點擊Decrypt按鈕進行解密,解密程序會讀取本地已經從服務端獲取的受害者解密key文件,對受害者機器上被加密的文件進行解密。

贖回問題的關鍵來了:因為比特幣錢包是匿名的,而比特幣的轉賬記錄又是公開的,如果直接把比特幣轉賬給了黑客,那么只能祈禱當你聯系上他時,能夠用語言來證明那錢是你轉過去的。

如果提前聯系黑客呢?這個我們已經嘗試好多天與黑客通過Contact us取得聯系,音信全無。

所以結合上述信息來看,通過支付贖回的希望是比較小的。

另一個黑客可能已經“劫持”了你的贖金

事情還沒有結束,經過對Wannacry病毒的發展歷程的研究,發現了“黑吃黑”的現象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進行攻擊。

如其中一個“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

經過對這個地址的監控,發現已有受害者向該地址轉賬

勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫?

根據以上分析,這位轉賬受害者的文件是不可能贖回了,因為他的付款對象也不知道怎么贖回受害者的文件。

自勒索病毒Wannacry本月12日開始爆發后,已經蔓延到全球上百座城市以及感染了數十萬臺機構和個人電腦。

來自騰訊反病毒實驗室的數據顯示,目前已有約200個受害者付款,價值37萬元的比特幣被轉到黑客賬戶。而對于更多的受害者來說,亟待解答的一問題是,到底該不該付贖金。對于要不要付贖金這件事,目前有兩種觀點:

一是付贖金,息事寧人。有報道稱,FBI給出了應對此類事件的建議:支付贖金。雖然調查人員否認了這一說法,但是根據5萬美元起的案件受理標準以及繁瑣的調查過程,付贖金似乎成了相對不錯的選擇。

而另一種觀點是堅決不付罰金,用法律來維護正義,比如受害者迪士尼。此前迪士尼CEO表示,公司即將上映的一部電影被盜。如果公司堅決不付贖金的話,可能會面臨被“撕票”的情況。比如之前Netflix的10集電視劇就被黑客發布到了網上。

如果付了贖金,警察就能解決這件事嗎?拿美國拉斯維加斯來說,頻繁的黑客攻擊行為已經超出了當地FBI 處理能力,這也意味著他們不可能去調查每一起案件。而如果付了贖金,被盜的文件就能順利的解密被返回嗎?對于這一問題,真還不好說。

騰訊反病毒實驗室分析認為,贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時可能已經被另一個黑客劫持,也就是我們通常說的“黑吃黑”。

付款贖回加密文件可行嗎?

騰訊反病毒實驗室經過分析,發現WannaCry病毒提供的贖回流程可能存在漏洞,支付贖金的操作是一個和計算機弱綁定的操作,并不能把受害計算機的付款情況傳遞給黑客。

簡單說來,就是即使黑客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對于支付贖金一定要慎重考慮,對于通過付款贖回被加密的文件,不要抱太大的期望。下面就來看一下付款的一個過程:

病毒感染計算機后會彈出一個支付框:

病毒彈出的支付框中包括三個關鍵點

1、ContactUs用于聯系黑客

2、CheckPayment用于上傳被加密的key文件,服務器返回用于解密文件的key文件

3、Decrypt使用CheckPayment獲取的解密key文件對機器上被加密的文件進行解密

ContactUS

ContactUs點擊后會彈出一個文本框,用于聯系病毒作者

當受害者輸入消息點擊send后會遍歷下面列表中的各個地址進行發送消息,由于接收信息的是暗網網址,因此國內受害者需要配置連接暗網環境(安裝并配置Tor瀏覽器)。

gx7ekbenv2riucmf.onion

57g7spgrzlojinas.onion

xxlvbrloxvriy2c5.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion

發送的內容如下圖

關鍵信息有以下幾部分

1、00000000.res文件的前8個字節(Send信息圖中紅框內),其中00000000.res是暗網訪問工具tor針對用戶的一個信息標識文件

2、計算機名和計算機賬戶名(Send信息圖中橙色框內)對應的獲取代碼如下圖

3、受害者發送的實際內容(Send信息圖中綠色框內):Hellothisisasendtest

CheckPayment

CheckPayment點擊后會先檢測服務器是否可以連通,如果不可以連通會提示如下信息

告知受害者檢查“是否可以訪問暗網”。

可以連通則發送了一段數據,如下圖

Check Payment

關鍵信息有以下幾部分

1、00000000.res文件的前8個字節,和send信息一致(紅色框內)

2、計算機名和計算機賬戶名,和send信息一致(橙色框內)

3、比特幣轉賬地址(綠色框內)

4、需轉賬金額(金色框內):$600

5、被加密過的key文件(00000000.eky)的內容

服務器會根據內容中發送的res前8個字節、計算機名和計算機賬戶名等信息確認受害者是否已經付過款,如果沒有付款服務器返回失敗,病毒提示如下信息

告知受害者沒有付款或者病毒作者沒有確認,最佳的確認時間是GMT時間上午9點到上午11點。

如果確認已經付款就會把00000000.eky文件進行解密并返回,病毒接收到服務器的返回會在受害計算機上生成用于解密文件的key文件00000000.dky,該文件會在Decrypt流程中使用到。

Decrypt

點擊Decrypt后會開啟解密流程,解密就是讀取從服務器上獲取的解密key文件00000000.dky作為密鑰,遍歷計算機上被加密的文件,進行解密,如下圖

流程

綜上分析,受害者中毒后的贖回過程大致如下

首先受害者需要通過Contactus告知病毒作者自己已經付款,這時病毒作者通過受害者發送消息時附加上傳的torkey(00000000.res前8個字節)、電腦名、電腦賬戶名等信息作為key值唯一標識受害者,如果通過受害者發送的消息(如比特幣轉賬記錄等)確認該受害者付過款,會在后臺設置一個針對該受害者的開關,標識該受害者可以獲取解密key文件。

受害者等待一段時間后點擊CheckPayment,這時病毒會上傳受害者的torkey、電腦名、電腦賬戶名、比特幣轉賬地址等詢問服務器該受害者是否被確認已經付款,然后病毒會上傳受害者的一個帶有被加密過的解密key文件(00000000.eky)到服務端,服務端如果確認受害者已經付款會把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。

受害者點擊Decrypt按鈕進行解密,解密程序會讀取本地已經從服務端獲取的受害者解密key文件,對受害者機器上被加密的文件進行解密。

贖回問題的關鍵來了:因為比特幣錢包是匿名的,而比特幣的轉賬記錄又是公開的,如果直接把比特幣轉賬給了黑客,那么只能祈禱當你聯系上他時,能夠用語言來證明那錢是你轉過去的。

如果提前聯系黑客呢?這個我們已經嘗試好多天與黑客通過Contactus取得聯系,音信全無。

所以結合上述信息來看,通過支付贖回的希望是比較小的。

另一個黑客可能已經“劫持”了你的贖金

事情還沒有結束,經過對Wannacry病毒的發展歷程的研究,發現了“黑吃黑”的現象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進行攻擊。

如其中一個“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖

經過對這個地址的監控,發現已有受害者向該地址轉賬

根據以上分析,這位轉賬受害者的文件是不可能贖回了,因為他的付款對象也不知道怎么贖回受害者的文件。

關鍵字:病毒作者Netflix

本文摘自:36kr

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 喀什市| 周口市| 英德市| 永泰县| 江孜县| 奉化市| 南靖县| 公主岭市| 吉林省| 玉环县| 安康市| 永福县| 桐庐县| 惠水县| 靖江市| 咸阳市| 阿鲁科尔沁旗| 余庆县| 高密市| 威远县| 墨脱县| 天水市| 海兴县| 东城区| 武川县| 天镇县| 离岛区| 雅江县| 东至县| 酒泉市| 彭泽县| 江孜县| 英德市| 行唐县| 绵竹市| 上饶县| 柘城县| 上虞市| 尚义县| 新晃| 宜良县|