腾讯反病毒实验室WannaCry勒索赎金

2019年05月15日 来源:

WannaCry病毒在刚刚过去的周末上演了一场计算机领域的生化危机,它通过MS漏洞在全球范围内大爆发,感染了大量的计算机。被感染后,大量重要文件被加密,导致中毒用户损失十分惨重。腾讯安全反病毒实验室对病毒作者提供的比特币账户进行监控,发现截至发稿为止已有约200个受害者付款,价值37万人民币的比特币被转到黑客账户。而对于更多的受害者来讲,目前面临的一个重要的问题,就是该不该付赎金。

经过分析,WannaCry病毒提供的赎回流程可能存在一个让受害者更加悲惨的漏洞,支付赎金的操作是一个和计算机弱绑定的操作,并不能把受害计算机的付款事实传递给黑客。

通俗点说,即使黑客收到了赎金,他也没法准确知道是谁付的款,该给谁解密。比特币勒索的受害者对于支付赎金一定要慎重斟酌,对通过付款赎回被加密的文件,不要抱太大的期望。

更使人绝望的是,经过对比特币勒索变种持续监控,分析人员还发现了黑吃黑的现象,有其他黑客通过修改原版WannaCry比特币钱包地址,做出了改收钱地址版WannaCry重新进行攻击。而这一部分新的受害者支付的赎金,都进修改者的钱包,他们文件也基本不可能赎回了,因为他们付错对象了。这里不免让人思考,所谓的爆发版WannaCry作者是不是也是通过修改别的黑客的钱包,而发起的这次攻击呢?不得而知,如果真是这样,或许付款的受害者只能等到海枯石烂了。

(腾讯安全反病毒实验室96小时勒索病毒监控图)

特别说明:

不得不承认此次WannaCry勒索病毒影响席卷全球,短期内被瞬间引爆,但实际破坏性还不算大,我们的研究和输出希望帮助大家理性了解并面对,其实不希望被放大和恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。针对勒索病毒已找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大友没必要太惊慌,关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对。我们也会继续追踪病毒演变。

分析

病毒感染计算机后会弹出一个支付框:

病毒弹出的支付框中包括三个关键点

Contact Us 用于联系黑客

Check Payment 用于上传被加密的key文件,服务器返回用于解密文件的key文件

Decrypt 使用Check Payment获取的解密key文件对机器上被加密的文件进行解密

Contact US

Contact Us点击后会弹出一个文本框,用于联系病毒作者

当受害者输入消息点击send后会遍历下面列表中的各个地址进行发送消息,由于接收信息的是暗址,因此国内受害者需要配置连接暗环境(安装并配置Tor浏览器)。

ion

发送的内容如下图

关键信息有以下几部分

1、s文件的前8个字节(Send信息图中红框内),其中s是暗访问工具tor针对用户的一个信息标识文件

计算机名和计算机账户名(Send信息图中橙色框内)对应的获取代码如下图

受害者发送的实际内容(Send信息图中绿色框内):Hello this is a send test

Check Payment

Check Payment点击后会先检测服务器是否可以连通,如果不可以连通会提示以下信息

告知受害者检查是不是可以访问暗。

可以连通则发送了一段数据,如下图

Check Payment

关键信息有以下几部分

1、s文件的前8个字节,和send信息一致(红色框内)

计算机名和计算机账户名,和send信息一致(橙色框内)

比特币转账地址(绿色框内)

需转账金额(金色框内):$600

被加密过的key文件(y)的内容

服务器会根据内容中发送的res前8个字节、计算机名和计算机账户名等信息确认受害者是不是已经付过款,如果没有付款服务器返回失败,病毒提示如下信息:

告知受害者没有付款或者病毒作者没有确认,的确认时间是GMT时间上午9点到上午11点。

如果确认已付款就会把y文件进行解密并返回,病毒接收到服务器的返回会在受害计算机上生成用于解密文件的key文件y,该文件会在Decrypt流程中使用到。

Decrypt

点击Decrypt后会开启解密流程,解密就是读取从服务器上获取的解密key文件y作为密钥,遍历计算机上被加密的文件,进行解密,如下图

流程

综上分析,受害者中毒后的赎回过程大致如下

首先受害者需要通过Contact us告知病毒作者自己已经付款,这时候病毒作者通过受害者发送消息时附加上传的tor key(s前8个字节)、电脑名、电脑账户名等信息作为key值标识受害者,如果通过受害者发送的消息(如比特币转账记录等)确认该受害者付过款,会在后台设置一个针对该受害者的开关,标识该受害者可以获得解密key文件。

受害者等待一段时间后点击Check Payment,这时候病毒会上传受害者的tor key、电脑名、电脑账户名、比特币转账地址等询问服务器该受害者是否被确认已经付款,然后病毒会上传受害者的一个带有被加密过的解密key文件(y)到服务端,服务端如果确认受害者已付款会把上传上来的key文件解密,并返还给受害者(y),然后提示可以解密。

受害者点击Decrypt按钮进行解密,解密程序会读取本地已经从服务端获取的受害者解密key文件,对受害者机器上被加密的文件进行解密。

问题

赎回问题的关键来了:

因为比特币钱包是匿名的,而比特币的转账记录又是公然的,如果直接把比特币转账给了黑客,那么只能祈祷当你联系上他时,能够用语言来证明那钱是你转过去的。

如果提早联系黑客呢?这个我们已经尝试好多天与黑客通过Contact us获得联系,音信全无。

结合上述信息来看,通过支付赎回的希望是比较小的。

黑吃黑

事情还没有结束,经过对Wannacry病毒的发展历程的研究,发现了黑吃黑的现象,冒牌黑客通过修改原版Wannacry比特币钱包地址,做出了改收钱地址版Wannacry重新进行攻击。如其中一个冒牌Wannacry就将收款地址修改为了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如图

经过对这个地址的监控,发现已有受害者向该地址转账

根据以上分析,这位转账受害者的文件是不可能赎回了,因为他的付款对象也不知道怎样赎回受害者的文件。

目前,对于已经感染病毒的电脑,腾讯电脑管家已经上线了全新的文件恢复方案,用户可以通过下载安装腾讯电脑管家勒索病毒专杀工具和文件恢复工具,并按照下方步骤操作,可找回被锁文件。

发现感染了勒索病毒后,立即断(拔线或断开WiFi)。

电脑中毒后,不能关机,并且不要因为惊慌失措,进行大量的无效操作(如拷贝、新建、复制、粘贴等),也不要打开任何文档、软件或程序。

通过其他电脑或,在腾讯电脑管家官下载勒索病毒专杀工具及文件恢复工具,并用U盘直接拷贝到电脑中安装运行。

(勒索病毒专杀工具下载地址:

用腾讯电脑管家勒索病毒专杀工具进行查杀,杀毒终了后便可运行文件恢复工具恢复文件。

将恢复好的文件拷贝至安全的U盘或移动硬盘中,随后重新安装系统。

根据腾讯电脑管家安全团队测试发现,只要按照以上方法进行操作,其文件被回复的概率可达到!

月经不调想要宝宝怎么调理
月经不调该怎么食疗
月经后期吃什么排淤血
相关文章
  • 茅盾文学奖入围作品上连载接受读者评判
    茅盾文学奖入围作品上连载接受读者评判

    从22日起,莫言的《四拾壹炮》、王蒙的《青狐》、贾平凹的《秦腔》等21部第七届茅盾文学奖入围作品在起点中文连载,接受络读者的阅读和评判,获奖结果将于26日终公布。据盛大文学CEO侯小强介绍,第七届茅盾文学奖入围作品,集合了作家莫言的...

  • SEO之三体合一的重要性
    SEO之三体合一的重要性

    SEO之三体合一的重要性A5任务 SEO诊断选学淘宝客 站长团购 云主机SEO:指的是作为SEOer针对搜索引擎对站展开优化推广的一种方法和手段。三体:指的是站的站长、搜索引擎、以及互联用户。这三者看似属于不同类型,但是在某种意义上来讲是有很密切的关联。你忽视...

  • 我军士官改进火炮传感器夜间射击精度大幅提
    我军士官改进火炮传感器夜间射击精度大幅提

    我军士官改进火炮传感器 夜间射击精度大幅提升2013年03月13日 11:19解放军报 我有话说《科技》刊登的一则引发一位士官的发明灵感—— “火炮电子射角仪”:让“战神的眼睛”更明亮“预备,放!”随着指挥员一声令下,数十门火炮在夜间瞬间齐射,炮弹像长了眼...

  • 陈光标昨日举行发布会回应质疑拒答提问还是没说清
    陈光标昨日举行发布会回应质疑拒答提问还是没说清

    陈光标手中的捐赠凭据不许翻看昨日发布会现场的仅数十人一向不太在意外界评价也不爱与舆论争辩的陈光标,昨日高调地对媒体的质疑进行了回应,不过有媒体称陈光标昨天的发布会引发了更多的疑问,因为发布会上没有看到证据说话,而都是陈光标在说话。昨日...

  • 美媒南海或许会引爆亚洲下一场重大军事冲突
    美媒南海或许会引爆亚洲下一场重大军事冲突

    美联社评论说,外界担心,南海或许会引爆亚洲下一场重大军事冲突。斯威夫特说,很明显,这些地区依然存在主权争端,但这并不会阻碍美国在争议地区进行军事行动。新任美国太平洋舰队司令17日向亚洲盟国保证,美国军队有良好装备,且已经做好准备应对南海...

  • 全球油籽一周禽流感担忧令全球大豆市场承压下行
    全球油籽一周禽流感担忧令全球大豆市场承压下行

    截至10月21日的一周,全球油籽市场大幅下挫,主要是因为禽流感局势令人担忧。周五芝加哥近期大豆合约比一周前每吨收低6。由于担心禽流感在欧洲以及亚洲进一步蔓延,进而损害养禽业对大豆以及制成品的需求,引发投机资金在大豆期货市场大举抛空。芝加哥大...