“勒索病毒”惊现黑吃黑腾讯反病毒实验室提醒切勿支付赎金

手机互联 2017-05-17 14:06:07 转载来源: 腾讯科技

站搜网讯 Wannacry“勒索病毒”在刚刚过去的周末上演了一场计算机领域的“生化危机”，它通过MS17-010漏洞在全球范围内大爆发，感染了大量的计算机。被感染后，大量重要文件被加密，导致中毒用户损失十分惨重

站搜网讯 Wannacry“勒索病毒”在刚刚过去的周末上演了一场计算机领域的“生化危机”，它通过MS17-010漏洞在全球范围内大爆发，感染了大量的计算机。被感染后，大量重要文件被加密，导致中毒用户损失十分惨重。腾讯反病毒实验室对病毒作者提供的比特币账户进行监控，发现截至发稿为止已有约200个受害者付款，价值37w人民币的比特币被转到黑客账户。而对于更多的受害者来说，目前面临的一个重要的问题，就是该不该付赎金。

经过分析，WannaCry病毒提供的赎回流程可能存在一个让受害者更加悲惨的漏洞，支付赎金的操作是一个和计算机弱绑定的操作，并不能把受害计算机的付款事实传递给黑客。

通俗点说，即使黑客收到了赎金，他也无法准确知道是谁付的款，该给谁解密。比特币勒索的受害者对于支付赎金一定要慎重考虑，对于通过付款赎回被加密的文件，不要抱太大的期望。

更令人绝望的是，经过对比特币勒索变种持续监控，分析人员还发现了“黑吃黑”的现象，有其他黑客通过修改“原版Wannacry”比特币钱包地址，做出了“改收钱地址版Wannacry”重新进行攻击。而这一部分新的受害者支付的赎金，都进修改者的钱包，他们文件也基本不可能赎回了，因为他们“付错对象了”。这里不免让人思考，所谓的“爆发版Wannacry”作者是否也是通过修改别的黑客的钱包，而发起的这次攻击呢？不得而知，如果真是这样，也许付款的受害者只能等到海枯石烂了。

腾讯安全反病毒实验室96小时勒索病毒监控图

特别说明：

不得不承认此次WannaCry勒索病毒影响席卷全球，短期内被瞬间引爆，但实际破坏性还不算大，我们的研究和输出希望帮助大家理性了解并面对，并不希望被放大和恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化，只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法，而且周一开始病毒传播已在减弱，用户只要掌握正确的方法就可以避免，广大网友不必太惊慌，关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案，也呼吁行业理性应对。我们也会继续追踪病毒演变。

赎回操作

病毒感染计算机后会弹出一个支付框：

病毒弹出的支付框中包括三个关键点

1、Contact Us 用于联系黑客

2、Check Payment 用于上传被加密的key文件，服务器返回用于解密文件的key文件

3、Decrypt 使用Check Payment获取的解密key文件对机器上被加密的文件进行解密

流程

受害者中毒后的赎回过程大致如下：

首先受害者需要通过Contact us告知病毒作者自己已经付款，这时病毒作者通过受害者发送消息时附加上传的tor key（00000000.res前8个字节）、电脑名、电脑账户名等信息作为key值唯一标识受害者，如果通过受害者发送的消息（如比特币转账记录等）确认该受害者付过款，会在后台设置一个针对该受害者的开关，标识该受害者可以获取解密key文件。

受害者等待一段时间后点击Check Payment，这时病毒会上传受害者的tor key、电脑名、电脑账户名、比特币转账地址等询问服务器该受害者是否被确认已经付款，然后病毒会上传受害者的一个带有被加密过的解密key文件（00000000.eky）到服务端，服务端如果确认受害者已经付款会把上传上来的key文件解密，并返还给受害者（00000000.dky），然后提示可以解密。

受害者点击Decrypt按钮进行解密，解密程序会读取本地已经从服务端获取的受害者解密key文件，对受害者机器上被加密的文件进行解密。

有关赎回问题：

因为比特币钱包是匿名的，而比特币的转账记录又是公开的，如果直接把比特币转账给了黑客，那么只能祈祷当你联系上他时，能够用语言来证明那钱是你转过去的。

如果提前联系黑客呢？这个我们已经尝试好多天与黑客通过Contact us取得联系，音信全无。

结合上述信息来看，通过支付赎回的希望是比较小的。

“黑吃黑”

事情还没有结束，经过对Wannacry病毒的发展历程的研究，发现了“黑吃黑”的现象，”冒牌黑客”通过修改“原版Wannacry”比特币钱包地址，做出了“改收钱地址版Wannacry”重新进行攻击。如其中一个“冒牌Wannacry”就将收款地址修改为了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV，如图：