您的位置:首页>>移动互联

腾讯反病毒实验室:WannaCry勒索赎金竟被黑吃黑

发布时间:2017-05-18 11:14:32  来源:互联网    背景:

  WannaCry病毒在刚刚过去的周末上演了一场计算机领域的“生化危机”,它通过MS17-010漏洞在全球范围内大爆发,感染了大量的计算机。被感染后,大量重要文件被加密,导致中毒用户损失十分惨重。腾讯安全反病毒实验室对病毒作者提供的比特币账户进行监控,发现截至发稿为止已有约200个受害者付款,价值37万人民币的比特币被转到黑客账户。而对于更多的受害者来说,目前面临的一个重要的问题,就是该不该付赎金。

  经过分析,WannaCry病毒提供的赎回流程可能存在一个让受害者更加悲惨的漏洞,支付赎金的操作是一个和计算机弱绑定的操作,并不能把受害计算机的付款事实传递给黑客。

  通俗点说,即使黑客收到了赎金,他也无法准确知道是谁付的款,该给谁解密。比特币勒索的受害者对于支付赎金一定要慎重考虑,对于通过付款赎回被加密的文件,不要抱太大的期望。

  更令人绝望的是,经过对比特币勒索变种持续监控,分析人员还发现了“黑吃黑”的现象,有其他黑客通过修改“原版WannaCry”比特币钱包地址,做出了“改收钱地址版WannaCry”重新进行攻击。而这一部分新的受害者支付的赎金,都进修改者的钱包,他们文件也基本不可能赎回了,因为他们“付错对象了”。这里不免让人思考,所谓的“爆发版WannaCry”作者是否也是通过修改别的黑客的钱包,而发起的这次攻击呢?不得而知,如果真是这样,也许付款的受害者只能等到海枯石烂了。

(腾讯安全反病毒实验室96小时勒索病毒监控图)

  特别说明:

  不得不承认此次WannaCry勒索病毒影响席卷全球,短期内被瞬间引爆,但实际破坏性还不算大,我们的研究和输出希望帮助大家理性了解并面对,并不希望被放大和恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大网友不必太惊慌,关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对。我们也会继续追踪病毒演变。

  分析

  病毒感染计算机后会弹出一个支付框:

  病毒弹出的支付框中包括三个关键点

  Contact Us 用于联系黑客

  Check Payment 用于上传被加密的key文件,服务器返回用于解密文件的key文件

  Decrypt 使用Check Payment获取的解密key文件对机器上被加密的文件进行解密

  Contact US

  Contact Us点击后会弹出一个文本框,用于联系病毒作者

  当受害者输入消息点击send后会遍历下面列表中的各个地址进行发送消息,由于接收信息的是暗网网址,因此国内受害者需要配置连接暗网环境(安装并配置Tor浏览器)。

  gx7ekbenv2riucmf.onion  57g7spgrzlojinas.onion  xxlvbrloxvriy2c5.onion  76jdd2ir2embyv47.onion  cwwnhwhlz52maqm7.onion

  发送的内容如下图

  关键信息有以下几部分

  1、00000000.res文件的前8个字节(Send信息图中红框内),其中00000000.res是暗网访问工具tor针对用户的一个信息标识文件

  计算机名和计算机账户名(Send信息图中橙色框内)对应的获取代码如下图

  受害者发送的实际内容(Send信息图中绿色框内):Hello this is a send test

  Check Payment

  Check Payment点击后会先检测服务器是否可以连通,如果不可以连通会提示如下信息

  告知受害者检查“是否可以访问暗网”。

  可以连通则发送了一段数据,如下图

  Check Payment

  关键信息有以下几部分

  1、00000000.res文件的前8个字节,和send信息一致(红色框内)

  计算机名和计算机账户名,和send信息一致(橙色框内)

  比特币转账地址(绿色框内)

  需转账金额(金色框内):$600

  被加密过的key文件(00000000.eky)的内容

  服务器会根据内容中发送的res前8个字节、计算机名和计算机账户名等信息确认受害者是否已经付过款,如果没有付款服务器返回失败,病毒提示如下信息:

  告知受害者没有付款或者病毒作者没有确认,最佳的确认时间是GMT时间上午9点到上午11点。

  如果确认已经付款就会把00000000.eky文件进行解密并返回,病毒接收到服务器的返回会在受害计算机上生成用于解密文件的key文件00000000.dky,该文件会在Decrypt流程中使用到。

  Decrypt

  点击Decrypt后会开启解密流程,解密就是读取从服务器上获取的解密key文件00000000.dky作为密钥,遍历计算机上被加密的文件,进行解密,如下图

  流程

  综上分析,受害者中毒后的赎回过程大致如下

  首先受害者需要通过Contact us告知病毒作者自己已经付款,这时病毒作者通过受害者发送消息时附加上传的tor key(00000000.res前8个字节)、电脑名、电脑账户名等信息作为key值唯一标识受害者,如果通过受害者发送的消息(如比特币转账记录等)确认该受害者付过款,会在后台设置一个针对该受害者的开关,标识该受害者可以获取解密key文件。

  受害者等待一段时间后点击Check Payment,这时病毒会上传受害者的tor key、电脑名、电脑账户名、比特币转账地址等询问服务器该受害者是否被确认已经付款,然后病毒会上传受害者的一个带有被加密过的解密key文件(00000000.eky)到服务端,服务端如果确认受害者已经付款会把上传上来的key文件解密,并返还给受害者(00000000.dky),然后提示可以解密。

  受害者点击Decrypt按钮进行解密,解密程序会读取本地已经从服务端获取的受害者解密key文件,对受害者机器上被加密的文件进行解密。

  问题

  赎回问题的关键来了:

  因为比特币钱包是匿名的,而比特币的转账记录又是公开的,如果直接把比特币转账给了黑客,那么只能祈祷当你联系上他时,能够用语言来证明那钱是你转过去的。

  如果提前联系黑客呢?这个我们已经尝试好多天与黑客通过Contact us取得联系,音信全无。

  结合上述信息来看,通过支付赎回的希望是比较小的。

  黑吃黑

  事情还没有结束,经过对Wannacry病毒的发展历程的研究,发现了“黑吃黑”的现象,”冒牌黑客”通过修改“原版Wannacry”比特币钱包地址,做出了“改收钱地址版Wannacry”重新进行攻击。如其中一个“冒牌Wannacry”就将收款地址修改为了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如图

  经过对这个地址的监控,发现已有受害者向该地址转账

  根据以上分析,这位转账受害者的文件是不可能赎回了,因为他的付款对象也不知道怎么赎回受害者的文件。

  目前,对于已经感染病毒的电脑,腾讯电脑管家已经上线了全新的文件恢复方案,用户可以通过下载安装腾讯电脑管家勒索病毒专杀工具和文件恢复工具,并按照下方步骤操作,可找回被锁文件。

  发现感染了勒索病毒后,立即断网(拔网线或断开WiFi)。

  电脑中毒后,不能关机,并且不要因为惊慌失措,进行大量的无效操作(如拷贝、新建、复制、粘贴等),也不要打开任何文档、软件或程序。

  通过其他电脑或手机,在腾讯电脑管家官网下载勒索病毒专杀工具及文件恢复工具,并用U盘直接拷贝到电脑中安装运行。

  (勒索病毒专杀工具下载地址:

  http://dlied6.qq.com/invc/QQPatch/killwannacrytools.zip)

  用腾讯电脑管家勒索病毒专杀工具进行查杀,杀毒完毕后即可运行文件恢复工具恢复文件。

  将恢复好的文件拷贝至安全的U盘或移动硬盘中,随后重新安装系统。

  根据腾讯电脑管家安全团队测试发现,只要按照以上方法进行操作,其文件被回复的概率可达到最高!

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
友情提示:评论功能暂时关闭,请扫描上方二维码进群交流!
防范电信网络诈骗再下一城 北京电信获创新示范奖受工信部认可
日前,工信部发布了2019年度防范治理电信网络诈骗创新实践示范项目,经案例征集、初审、复审、评选...
日期:08-21
一台5G基站要多少钱?相当于100部5G手机
中国的5G已经发牌,9月份三大运营商就要正式开通5G网络运营,据悉移动联通电信三家公司今年的资本开...
日期:08-21
4G慢不慢,不能用“话术”来解释
如果运营商一边在内部下达降速的指令,一边又对媒体和社会公众矢口否认降速,这样的行为无疑并不妥...
日期:08-21
为何我们一说到网速,就觉得心慌慌呢?
  当我们的身边开始覆盖5G信号的时候,运营商甚至不无贴心地表示,可以用自己的手机...
日期:08-21
是喜还是忧?移动推出20元无限流量套餐
  (原标题:移动一公布就炸!发布20元无限流量套餐,网友哭诉:办理完后悔 )
日期:08-20
运营商8月新政策,用户纷纷叫好!
  (原标题:三大运营商纷纷实施新规!用户纷纷叫好:听说八月新规举措很便民?)
日期:08-19
移动互联网用户与使用时长双下跌 精细化运营流量池或成趋势
近期,QuestMobile发布中国移动互联网2019半年大报告,显示上半年无论是用户量还是用户时长,增速都...
日期:08-19
5G去哪儿找?登联通App 找5G享5G!
  (原标题:你们家附近有5G吗?中国联通上线5G覆盖查询功能)
日期:08-19
中国联通董事长曝内幕:5G不是跟电信就是跟移动合作
8月18日消息 近日国内三大运营商都被“提速降费”以及后续的套餐设定弄得焦头烂额,那么...
日期:08-18
为什么说电信5G是华为Mate20X的绝配
众所周知,华为Mate 20X创下了多个第一:不仅是华为旗下首款5G手机,还是中国首款获得5G终端电信设...
日期:08-16
华为今天上架一款新手机,开卖5分钟被抢光,这是闹哪样?
今天是华为 Mate 20 X 5G 版上架京东的首日,在上午10:08开卖,小编手头有点事,所以没有第一时间进...
日期:08-16
国庆前5G套餐正式与大家见面!起步价190元
  (原标题:5G套餐起步价190元 运营商内部人士称国庆前推出)
日期:08-16
中国电信推出用户5G体验计划:遵循“三不一换”原则
  (原标题:中国电信:5G商用前,将免费提供5G体验流量包)
日期:08-16
北京移动“5G免费体验活动”来了!购5G手机免费领5G体验包
(原标题:一线|北京移动开售首部华为5G商用手机 每月送100G流量)
日期:08-16
买得起5G手机,用不起5G套餐?
(原标题:速评 | 联通5G套餐最低190元 我为什么说这价格并不贵?)
日期:08-16
网易邮箱成为七夕营销黑马,被低估的流量价值洼地
七夕作为中国传统节日,在各大商家的包装下,近年热度持续升温,已经超越情人节和“520”...
日期:08-10
OPPO钱包版本迎更新,为用户带来新模块和新体验
近期,OPPO钱包V3.3.0版本正式和OPPO用户见面。新版本界面更加简洁美观,通过精细化的首页布局更新...
日期:08-09
EMUI10首秀带来重磅福利!P30系列率先启动Beta招募
8月9日,华为开发者大会(HDC 2019)在东莞松山湖拉开帷幕。备受关注的华为EMUI10如期而至。以极致体...
日期:08-09
中国移动上调5G资本开支:全年预计240亿元
8月9日消息 昨天,中国移动发布了截止到2019年6月30日的上半年财报。
日期:08-09
5G爆发前夜,vivo选择在线上与小米一决胜负?
7月31日,vivo Z系列迎来了一名新成员——vivo Z5。作为主打线上的重要机型,Z5确实具备...
日期:08-02
  专栏介绍
阳光不锈 的专栏
阳光不锈发表的文章
积分:
自我介绍 :