中國(guó)移動(dòng)2.6GHz廣電專用核心網(wǎng)設(shè)備集采:中興、華為中標(biāo)摩爾線程沖刺上市!三大國(guó)產(chǎn)GPU廠商排隊(duì) 估值都是上百億元Q3廚電業(yè)績(jī)分化背后:消費(fèi)熱點(diǎn)從集成到分體,流行風(fēng)向回歸了?足不出戶“登月”,進(jìn)入游戲世界:賦能創(chuàng)作者,索尼又有新方案人形“智能”大熱,何時(shí)能夠加入我們的生活?國(guó)產(chǎn)手機(jī)面板雄起!明年全球占比有望超70%小米汽車校招工資曝光:最高每月8000元OpenAI回應(yīng)AI在教育界爭(zhēng)議:12種方法讓學(xué)生合理使用ChatGPT新周期開始 電商江湖價(jià)值回歸OpenAI呼吁建立“北美人工智能聯(lián)盟”,好與中國(guó)競(jìng)爭(zhēng)編程利器:OpenAI升級(jí)ChatGPT應(yīng)用,可配合Xcode等工具使用簡(jiǎn)化開發(fā)流程三季度:有四家電視代工廠出貨超300萬臺(tái),曾經(jīng)代工大王“跌相”難看孫正義黃仁勛互曝往事:差點(diǎn)買下英偉達(dá) 錯(cuò)失兩千億美元我國(guó)專家回應(yīng)6G到底離我們有多遠(yuǎn):明年啟動(dòng)技術(shù)標(biāo)準(zhǔn)研究楊元慶:聯(lián)想連續(xù)四個(gè)季度實(shí)現(xiàn)提速 越來越好小米SU7 Ultra原型車亮相2024廣州車展機(jī)票報(bào)銷更便利!民航旅客運(yùn)輸服務(wù)推廣使用全面數(shù)字化的電子發(fā)票大模型上了火山方舟:數(shù)據(jù)唯你可見,唯你所用,唯你所有乘風(fēng)破浪的“廠二代”|《你好!廠長(zhǎng)》第八期全國(guó)首映,見證​逆風(fēng)翻盤的精彩人生大屏電視+回音壁組合,輕松打造震撼家庭影院!
  • 首頁 > 產(chǎn)經(jīng)新聞?lì)l道 > 業(yè)界新聞

    驚現(xiàn)黑吃黑!WannaCry勒索贖回之路難通

    2017年05月18日 14:51:04   來源:中文科技資訊

      WannaCry病毒在剛剛過去的周末上演了一場(chǎng)計(jì)算機(jī)領(lǐng)域的“生化危機(jī)”,它通過MS17-010漏洞在全球范圍內(nèi)大爆發(fā),感染了大量的計(jì)算機(jī)。被感染后,大量重要文件被加密,導(dǎo)致中毒用戶損失十分慘重。騰訊安全反病毒實(shí)驗(yàn)室對(duì)病毒作者提供的比特幣賬戶進(jìn)行監(jiān)控,發(fā)現(xiàn)截至發(fā)稿為止已有約200個(gè)受害者付款,價(jià)值37萬人民幣的比特幣被轉(zhuǎn)到黑客賬戶。而對(duì)于更多的受害者來說,目前面臨的一個(gè)重要的問題,就是該不該付贖金。

      經(jīng)過分析,WannaCry病毒提供的贖回流程可能存在一個(gè)讓受害者更加悲慘的漏洞,支付贖金的操作是一個(gè)和計(jì)算機(jī)弱綁定的操作,并不能把受害計(jì)算機(jī)的付款事實(shí)傳遞給黑客。

      通俗點(diǎn)說,即使黑客收到了贖金,他也無法準(zhǔn)確知道是誰付的款,該給誰解密。比特幣勒索的受害者對(duì)于支付贖金一定要慎重考慮,對(duì)于通過付款贖回被加密的文件,不要抱太大的期望。

      更令人絕望的是,經(jīng)過對(duì)比特幣勒索變種持續(xù)監(jiān)控,分析人員還發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象,有其他黑客通過修改“原版WannaCry”比特幣錢包地址,做出了“改收錢地址版WannaCry”重新進(jìn)行攻擊。而這一部分新的受害者支付的贖金,都進(jìn)修改者的錢包,他們文件也基本不可能贖回了,因?yàn)樗麄?ldquo;付錯(cuò)對(duì)象了”。這里不免讓人思考,所謂的“爆發(fā)版WannaCry”作者是否也是通過修改別的黑客的錢包,而發(fā)起的這次攻擊呢?不得而知,如果真是這樣,也許付款的受害者只能等到?菔癄了。

      (騰訊安全反病毒實(shí)驗(yàn)室96小時(shí)勒索病毒監(jiān)控圖)

      特別說明:

      不得不承認(rèn)此次WannaCry勒索病毒影響席卷全球,短期內(nèi)被瞬間引爆,但實(shí)際破壞性還不算大,我們的研究和輸出希望幫助大家理性了解并面對(duì),并不希望被放大和恐慌。此次我們認(rèn)為這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結(jié)合。針對(duì)勒索病毒已經(jīng)找到了有效的防御方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網(wǎng)友不必太驚慌,關(guān)注騰訊安全聯(lián)合實(shí)驗(yàn)室和騰訊電腦管家的研究和防御方案,也呼吁行業(yè)理性應(yīng)對(duì)。我們也會(huì)繼續(xù)追蹤病毒演變。

      分析

      病毒感染計(jì)算機(jī)后會(huì)彈出一個(gè)支付框:

      病毒彈出的支付框中包括三個(gè)關(guān)鍵點(diǎn)

      1、Contact Us 用于聯(lián)系黑客

      2、Check Payment 用于上傳被加密的key文件,服務(wù)器返回用于解密文件的key文件

      3、Decrypt 使用Check Payment獲取的解密key文件對(duì)機(jī)器上被加密的文件進(jìn)行解密

      Contact US

      Contact Us點(diǎn)擊后會(huì)彈出一個(gè)文本框,用于聯(lián)系病毒作者

      當(dāng)受害者輸入消息點(diǎn)擊send后會(huì)遍歷下面列表中的各個(gè)地址進(jìn)行發(fā)送消息,由于接收信息的是暗網(wǎng)網(wǎng)址,因此國(guó)內(nèi)受害者需要配置連接暗網(wǎng)環(huán)境(安裝并配置Tor瀏覽器)。

      gx7ekbenv2riucmf.onion

      57g7spgrzlojinas.onion

      xxlvbrloxvriy2c5.onion

      76jdd2ir2embyv47.onion

      cwwnhwhlz52maqm7.onion

      發(fā)送的內(nèi)容如下圖

      關(guān)鍵信息有以下幾部分

      1、00000000.res文件的前8個(gè)字節(jié)(Send信息圖中紅框內(nèi)),其中00000000.res是暗網(wǎng)訪問工具tor針對(duì)用戶的一個(gè)信息標(biāo)識(shí)文件

      2、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名(Send信息圖中橙色框內(nèi))對(duì)應(yīng)的獲取代碼如下圖

      3、受害者發(fā)送的實(shí)際內(nèi)容(Send信息圖中綠色框內(nèi)):Hello this is a send test

      Check Payment

      Check Payment點(diǎn)擊后會(huì)先檢測(cè)服務(wù)器是否可以連通,如果不可以連通會(huì)提示如下信息

      告知受害者檢查“是否可以訪問暗網(wǎng)”。

      可以連通則發(fā)送了一段數(shù)據(jù),如下圖

      Check Payment

      關(guān)鍵信息有以下幾部分

      1、00000000.res文件的前8個(gè)字節(jié),和send信息一致(紅色框內(nèi))

      2、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名,和send信息一致(橙色框內(nèi))

      3、比特幣轉(zhuǎn)賬地址(綠色框內(nèi))

      4、需轉(zhuǎn)賬金額(金色框內(nèi)):$600

      5、被加密過的key文件(00000000.eky)的內(nèi)容

      服務(wù)器會(huì)根據(jù)內(nèi)容中發(fā)送的res前8個(gè)字節(jié)、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名等信息確認(rèn)受害者是否已經(jīng)付過款,如果沒有付款服務(wù)器返回失敗,病毒提示如下信息:

      告知受害者沒有付款或者病毒作者沒有確認(rèn),最佳的確認(rèn)時(shí)間是GMT時(shí)間上午9點(diǎn)到上午11點(diǎn)。

      如果確認(rèn)已經(jīng)付款就會(huì)把00000000.eky文件進(jìn)行解密并返回,病毒接收到服務(wù)器的返回會(huì)在受害計(jì)算機(jī)上生成用于解密文件的key文件00000000.dky,該文件會(huì)在Decrypt流程中使用到。

      Decrypt

      點(diǎn)擊Decrypt后會(huì)開啟解密流程,解密就是讀取從服務(wù)器上獲取的解密key文件00000000.dky作為密鑰,遍歷計(jì)算機(jī)上被加密的文件,進(jìn)行解密,如下圖

      流程

      綜上分析,受害者中毒后的贖回過程大致如下

      首先受害者需要通過Contact us告知病毒作者自己已經(jīng)付款,這時(shí)病毒作者通過受害者發(fā)送消息時(shí)附加上傳的tor key(00000000.res前8個(gè)字節(jié))、電腦名、電腦賬戶名等信息作為key值唯一標(biāo)識(shí)受害者,如果通過受害者發(fā)送的消息(如比特幣轉(zhuǎn)賬記錄等)確認(rèn)該受害者付過款,會(huì)在后臺(tái)設(shè)置一個(gè)針對(duì)該受害者的開關(guān),標(biāo)識(shí)該受害者可以獲取解密key文件。

      受害者等待一段時(shí)間后點(diǎn)擊Check Payment,這時(shí)病毒會(huì)上傳受害者的tor key、電腦名、電腦賬戶名、比特幣轉(zhuǎn)賬地址等詢問服務(wù)器該受害者是否被確認(rèn)已經(jīng)付款,然后病毒會(huì)上傳受害者的一個(gè)帶有被加密過的解密key文件(00000000.eky)到服務(wù)端,服務(wù)端如果確認(rèn)受害者已經(jīng)付款會(huì)把上傳上來的key文件解密,并返還給受害者(00000000.dky),然后提示可以解密。

      受害者點(diǎn)擊Decrypt按鈕進(jìn)行解密,解密程序會(huì)讀取本地已經(jīng)從服務(wù)端獲取的受害者解密key文件,對(duì)受害者機(jī)器上被加密的文件進(jìn)行解密。

      問題

      贖回問題的關(guān)鍵來了:

      因?yàn)楸忍貛佩X包是匿名的,而比特幣的轉(zhuǎn)賬記錄又是公開的,如果直接把比特幣轉(zhuǎn)賬給了黑客,那么只能祈禱當(dāng)你聯(lián)系上他時(shí),能夠用語言來證明那錢是你轉(zhuǎn)過去的。

      如果提前聯(lián)系黑客呢?這個(gè)我們已經(jīng)嘗試好多天與黑客通過Contact us取得聯(lián)系,音信全無。

      結(jié)合上述信息來看,通過支付贖回的希望是比較小的。

      黑吃黑

      事情還沒有結(jié)束,經(jīng)過對(duì)Wannacry病毒的發(fā)展歷程的研究,發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象,”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址,做出了“改收錢地址版Wannacry”重新進(jìn)行攻擊。如其中一個(gè)“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖

      經(jīng)過對(duì)這個(gè)地址的監(jiān)控,發(fā)現(xiàn)已有受害者向該地址轉(zhuǎn)賬

      根據(jù)以上分析,這位轉(zhuǎn)賬受害者的文件是不可能贖回了,因?yàn)樗母犊顚?duì)象也不知道怎么贖回受害者的文件。

      目前,對(duì)于已經(jīng)感染病毒的電腦,騰訊電腦管家已經(jīng)上線了全新的文件恢復(fù)方案,用戶可以通過下載安裝騰訊電腦管家勒索病毒專殺工具和文件恢復(fù)工具,并按照下方步驟操作,可找回被鎖文件。

      1、 發(fā)現(xiàn)感染了勒索病毒后,立即斷網(wǎng)(拔網(wǎng)線或斷開WiFi)。

      2、 電腦中毒后,不能關(guān)機(jī),并且不要因?yàn)轶@慌失措,進(jìn)行大量的無效操作(如拷貝、新建、復(fù)制、粘貼等),也不要打開任何文檔、軟件或程序。

      3、 通過其他電腦或手機(jī),在騰訊電腦管家官網(wǎng)下載勒索病毒專殺工具及文件恢復(fù)工具,并用U盤直接拷貝到電腦中安裝運(yùn)行。

      4、 用騰訊電腦管家勒索病毒專殺工具進(jìn)行查殺,殺毒完畢后即可運(yùn)行文件恢復(fù)工具恢復(fù)文件。

      5、 將恢復(fù)好的文件拷貝至安全的U盤或移動(dòng)硬盤中,隨后重新安裝系統(tǒng)。

      根據(jù)騰訊電腦管家安全團(tuán)隊(duì)測(cè)試發(fā)現(xiàn),只要按照以上方法進(jìn)行操作,其文件被回復(fù)的概率可達(dá)到最高!

      文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。

    即時(shí)

    唯品會(huì)雙11銷量前十品牌中有7個(gè)國(guó)貨品牌

    11月11日,據(jù)網(wǎng)經(jīng)社數(shù)字零售臺(tái)(DR.100EC.CN)數(shù)據(jù)顯示,秋冬服飾仍是雙11的C位,女士針織衫、女士外套、女士羽絨服等位居服飾消費(fèi)前列,女士夾克銷量同比增長(zhǎng)72%,女士棉衣、女士羊毛衫銷量同比增長(zhǎng)50%以上。男士外套銷量同比增長(zhǎng)30%以上。

    新聞

    明火炊具市場(chǎng):三季度健康屬性貫穿全類目

    奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應(yīng)用,“區(qū)塊鏈+政務(wù)服務(wù)”顯成效

    “以前都要去窗口辦,一套流程下來都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。

    3C消費(fèi)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實(shí)力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。

    研究

    中國(guó)信通院羅松:深度解讀《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系

    9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專題論壇在沈陽成功舉辦。