驚現黑吃黑!WannaCry勒索贖回之路難通
Wannacry病毒在剛剛過去的周末上演了一場計算機領域的「生化危機」,它通過MS17-010漏洞在全球範圍內大爆發,感染了大量的計算機。被感染後,大量重要文件被加密,導致中毒用戶損失十分慘重。騰訊反病毒實驗室對病毒作者提供的比特幣賬戶進行監控,發現截至發稿為止已有約200個受害者付款,價值37w人民幣的比特幣被轉到黑客賬戶。而對於更多的受害者來說,目前面臨的一個重要的問題,就是該不該付贖金。
經過分析,WannaCry病毒提供的贖迴流程可能存在一個讓受害者更加悲慘的漏洞,支付贖金的操作是一個和計算機弱綁定的操作,並不能把受害計算機的付款事實傳遞給黑客。
通俗點說,即使黑客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對於支付贖金一定要慎重考慮,對於通過付款贖回被加密的文件,不要抱太大的期望。
更令人絕望的是,經過對比特幣勒索變種持續監控,分析人員還發現了「黑吃黑」的現象,有其他黑客通過修改「原版Wannacry」比特幣錢包地址,做出了「改收錢地址版Wannacry」重新進行攻擊。而這一部分新的受害者支付的贖金,都進修改者的錢包,他們文件也基本不可能贖回了,因為他們「付錯對象了」。這裡不免讓人思考,所謂的「爆發版Wannacry」作者是否也是通過修改別的黑客的錢包,而發起的這次攻擊呢?不得而知,如果真是這樣,也許付款的受害者只能等到海枯石爛了。
(騰訊安全反病毒實驗室96小時勒索病毒監控圖)
特別說明:
不得不承認此次WannaCry勒索病毒影響席捲全球,短期內被瞬間引爆,但實際破壞性還不算大,我們的研究和輸出希望幫助大家理性了解並面對,並不希望被放大和恐慌。此次我們認為這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防禦方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網友不必太驚慌,關注騰訊安全聯合實驗室和騰訊電腦管家的研究和防禦方案,也呼籲行業理性應對。我們也會繼續追蹤病毒演變。
分析
病毒感染計算機後會彈出一個支付框:
病毒彈出的支付框中包括三個關鍵點
1、Contact Us 用於聯繫黑客
2、Check Payment 用於上傳被加密的key文件,伺服器返回用於解密文件的key文件
3、Decrypt 使用Check Payment獲取的解密key文件對機器上被加密的文件進行解密
Contact US
Contact Us點擊後會彈出一個文本框,用於聯繫病毒作者
當受害者輸入消息點擊send後會遍歷下面列表中的各個地址進行發送消息,由於接收信息的是暗網網址,因此國內受害者需要配置連接暗網環境(安裝並配置Tor瀏覽器)。
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
發送的內容如下圖
關鍵信息有以下幾部分
2、計算機名和計算機賬戶名(Send信息圖中橙色框內)對應的獲取代碼如下圖
3、受害者發送的實際內容(Send信息圖中綠色框內):Hello this is a send test
Check Payment
Check Payment點擊後會先檢測伺服器是否可以連通,如果不可以連通會提示如下信息
告知受害者檢查「是否可以訪問暗網」。
可以連通則發送了一段數據,如下圖
Check Payment
關鍵信息有以下幾部分
2、計算機名和計算機賬戶名,和send信息一致(橙色框內)
3、比特幣轉賬地址(綠色框內)
4、需轉賬金額(金色框內):$600
伺服器會根據內容中發送的res前8個位元組、計算機名和計算機賬戶名等信息確認受害者是否已經付過款,如果沒有付款伺服器返回失敗,病毒提示如下信息
告知受害者沒有付款或者病毒作者沒有確認,最佳的確認時間是GMT時間上午9點到上午11點。
Decrypt
流程
綜上分析,受害者中毒後的贖回過程大致如下
受害者點擊Decrypt按鈕進行解密,解密程序會讀取本地已經從服務端獲取的受害者解密key文件,對受害者機器上被加密的文件進行解密。
問題
贖回問題的關鍵來了:
因為比特幣錢包是匿名的,而比特幣的轉賬記錄又是公開的,如果直接把比特幣轉賬給了黑客,那麼只能祈禱當你聯繫上他時,能夠用語言來證明那錢是你轉過去的。
如果提前聯繫黑客呢?這個我們已經嘗試好多天與黑客通過Contact us取得聯繫,音信全無。
結合上述信息來看,通過支付贖回的希望是比較小的。
黑吃黑
事情還沒有結束,經過對Wannacry病毒的發展歷程的研究,發現了「黑吃黑」的現象,」冒牌黑客」通過修改「原版Wannacry」比特幣錢包地址,做出了「改收錢地址版Wannacry」重新進行攻擊。如其中一個「冒牌Wannacry」就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖
經過對這個地址的監控,發現已有受害者向該地址轉賬
根據以上分析,這位轉賬受害者的文件是不可能贖回了,因為他的付款對象也不知道怎麼贖回受害者的文件。
※矽谷遊學機會攜帶30萬大獎又雙叒叕來了!慎點!
※2017年11個移動App開發趨勢
※揭秘Android地下產業
TAG:程序猿 |
※可怕!羅馬Casilina驚現連環搶劫案!
※史無前例!北馬驚現Noodle Party
※「Bomb to Brisbane」!布里斯班機場驚現可疑包裹!警察緊急出動!
※蘋果發布會上驚現AirPods 2?免提喚醒Siri泄露天機
※Nike Presto React驚現新鞋型!這款是你的菜么?
※Nike Presto React驚現新鞋型!?這款是你的菜么?
※OFF-WHITE × Vapor Street Flyknit 驚現網路!
※KAWS x Air Jordan 3 驚現!可惜你想買也買不到!
※頭條:Python開源庫「SSH Decorator」新版本驚現後門
※戀愛節目《Romance Package》中驚現Bigbang勝利!
※馬上發售?蘋果外包裝驚現AirPower,這次是AirPods無線充電盒
※外灘驚現超「牛」的Brunch,我請你吃!
※NeXT韓國區驚現最大黑馬 他讓Lucifer無緣線下
※ninepercent主場驚現費啟鳴?粉絲「大型出軌」,蔡徐坤一臉懵!
※還有彩虹配色?!OFF-WHITE x Blazer Mid 「Rainbow」 驚現網路
※驚現湖人隊紫金「腳趾」配色!AirJordan1xNikeSB首度曝光
※網路驚現黑色 Levi』s x AJ4 上腳圖!黑色和藍色你更喜歡哪雙?
※新年驚喜不斷!Undefeated x Nike Kobe 1 Protro驚現未見款新配色!
※Kubernetes驚現首個重大安全漏洞 可隨意提升root許可權
※特價238!AJ到底酷不酷?灌籃高手配色的 Air Jordan 6 「Slam Dunk」 驚現網路!