終極CGFinal · 打造精彩的設計網站
當前位置: 主頁 > CG業界 > “勒索病毒”出現黑吃黑 終極CGFinal反病毒實驗室提醒切勿支付贖金

“勒索病毒”出現黑吃黑 終極CGFinal反病毒實驗室提醒切勿支付贖金

發布時間:2017-05-18 06:57內容來源:終極CGFinal 點擊:

終極CGFinal Wannacry“勒索病毒”在剛剛過去的周末上演了一場計算機領域的“生化危機”,它通過MS17-010漏洞在全球范圍內大爆發,感染了大量的計算機。被感染后,大量重要文件被加密,導致中毒用戶損失十分慘重。終極CGFinal反病毒實驗室對病毒作者提供的比特幣賬戶進行監控,發現截至發稿為止已有約200個受害者付款,價值37w人民幣的比特幣被轉到黑客賬戶。而對于更多的受害者來說,目前面臨的一個重要的問題,就是該不該付贖金。

經過分析,WannaCry病毒提供的贖回流程可能存在一個讓受害者更加悲慘的漏洞,支付贖金的操作是一個和計算機弱綁定的操作,并不能把受害計算機的付款事實傳遞給黑客。

通俗點說,即使黑客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對于支付贖金一定要慎重考慮,對于通過付款贖回被加密的文件,不要抱太大的期望。

更令人絕望的是,經過對比特幣勒索變種持續監控,分析人員還發現了“黑吃黑”的現象,有其他黑客通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進行攻擊。而這一部分新的受害者支付的贖金,都進修改者的錢包,他們文件也基本不可能贖回了,因為他們“付錯對象了”。這里不免讓人思考,所謂的“爆發版Wannacry”作者是否也是通過修改別的黑客的錢包,而發起的這次攻擊呢?不得而知,如果真是這樣,也許付款的受害者只能等到?菔癄了。

“勒索病毒”出現黑吃黑 終極CGFinal反病毒實驗室提醒切勿支付贖金

終極CGFinal安全反病毒實驗室96小時勒索病毒監控圖

特別說明:

不得不承認此次WannaCry勒索病毒影響席卷全球,短期內被瞬間引爆,但實際破壞性還不算大,我們的研究和輸出希望幫助大家理性了解并面對,并不希望被放大和恐慌。此次我們認為這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防御方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網友不必太驚慌,關注終極CGFinal安全聯合實驗室和終極CGFinal電腦管家的研究和防御方案,也呼吁行業理性應對。我們也會繼續追蹤病毒演變。

贖回操作

病毒感染計算機后會彈出一個支付框:

“勒索病毒”出現黑吃黑 終極CGFinal反病毒實驗室提醒切勿支付贖金

病毒彈出的支付框中包括三個關鍵點

1、Contact Us 用于聯系黑客

2、Check Payment 用于上傳被加密的key文件,服務器返回用于解密文件的key文件

3、Decrypt 使用Check Payment獲取的解密key文件對機器上被加密的文件進行解密

流程

受害者中毒后的贖回過程大致如下:

“勒索病毒”出現黑吃黑 終極CGFinal反病毒實驗室提醒切勿支付贖金

首先受害者需要通過Contact us告知病毒作者自己已經付款,這時病毒作者通過受害者發送消息時附加上傳的tor key(00000000.res前8個字節)、電腦名、電腦賬戶名等信息作為key值唯一標識受害者,如果通過受害者發送的消息(如比特幣轉賬記錄等)確認該受害者付過款,會在后臺設置一個針對該受害者的開關,標識該受害者可以獲取解密key文件。

受害者等待一段時間后點擊Check Payment,這時病毒會上傳受害者的tor key、電腦名、電腦賬戶名、比特幣轉賬地址等詢問服務器該受害者是否被確認已經付款,然后病毒會上傳受害者的一個帶有被加密過的解密key文件(00000000.eky)到服務端,服務端如果確認受害者已經付款會把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。

受害者點擊Decrypt按鈕進行解密,解密程序會讀取本地已經從服務端獲取的受害者解密key文件,對受害者機器上被加密的文件進行解密。

有關贖回問題:

因為比特幣錢包是匿名的,而比特幣的轉賬記錄又是公開的,如果直接把比特幣轉賬給了黑客,那么只能祈禱當你聯系上他時,能夠用語言來證明那錢是你轉過去的。

如果提前聯系黑客呢?這個我們已經嘗試好多天與黑客通過Contact us取得聯系,音信全無。

結合上述信息來看,通過支付贖回的希望是比較小的。

“黑吃黑”

事情還沒有結束,經過對Wannacry病毒的發展歷程的研究,發現了“黑吃黑”的現象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進行攻擊。如其中一個“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖:

“勒索病毒”出現黑吃黑 終極CGFinal反病毒實驗室提醒切勿支付贖金

經過對這個地址的監控,發現已有受害者向該地址轉賬

根據以上分析,這位轉賬受害者的文件是不可能贖回了,因為他的付款對象也不知道怎么贖回受害者的文件。

頂一下
(0)
0%
踩一下
(0)
0%
------分隔線----------------------------
新浪斗地主官网 红宇新材股票吧 星悦陕西麻将app下载 兼职网赚论坛 意甲中文官网 微乐家乡麻将万能辅助器 一码 经典单机四人麻将 浙江快乐彩图表 在线教育股票有哪些 海南体彩环岛赛玩法