腾讯电脑管家:96小时抗击勒索病毒
比特币勒索的受害者必须仔细考虑支付赎金,不要期望通过支付赎回加密文件。 ??Wannacry病毒在刚才的周末上演了计算机领域的生化危机MS17-010缺陷在全球范围内发生了巨大的攻击,吸收了大量的计算机。吸烟后,大量的主要文件被加密,给中毒用户造成了巨大的损失。腾讯反病毒实验室监控了病毒作者提供的比特币账户,发现大约200名受害者已经支付了停止发布的费用37w人民币比特币被转移到黑客账户。对于更多的受害者来说,一个主要问题是他们是否应该支付赎金。??经由剖析,WannaCry病毒提供的赎回过程可能会使受害者更加悲伤。支付赎金的操作是一种与计算机弱绑定的操作,不能将受害计算机的支付事实传递给黑客。
??一般来说,即使黑客收到赎金,他也不知道谁付了钱,谁应该解密。比特币勒索的受害者必须仔细考虑支付赎金,不要期望通过支付赎回加密文件。
??更绝望的是,通过对比特币勒索变种的持续监控,分析人员还发现其他黑客修改了黑吃黑的标志Wannacry比特币钱包地址,改收钱地址版Wannacry重新攻击。而这部分新受害者支付的赎金,都是修改者的钱包,他们的文件基本不可能赎回,因为他们支付了错误的工具。这里难免让人思考,所谓发作版Wannacry作者是否也通过修改其他黑客的钱包提出了这次攻击?不知道,如果是这样的话,也许付款的受害者只能等到永恒。
(腾讯平安反病毒实验室96小时勒索病毒监测图) 稀奇说明: ??必须承认这一次WannaCry勒索病毒影响席卷全球,短期内瞬间引爆,但现实并不具有破坏性,
警惕勒索病毒或与知名软件捆绑传播!
我们的研究和输出希望帮助每个人理性地理解和面对它,而不是被放大和恐慌。这一次,我们认为勒索病毒的邪恶技术没有显著改变,但这与微软的缺陷有关。勒索病毒已经找到了一种有用的防御方法,周一第一次病毒传播正在减弱。只要用户掌握了准确的方法,他们就可以停止。大多数网民不必太惊慌。他们关注腾讯平安团结实验室和腾讯计算机管家的研究和防御计划,并呼吁行业合理应对。我们还将继续跟踪病毒的演变。 赎回操作??一个支付框将在病毒熏染计算机后弹出:
??病毒弹出的支付框包括三个关键点: 1、Contact Us 用于联系黑客
2、Check Payment 用于上传加密key服务器返回解密文件的文件key文件
3、Decrypt 使用Check Payment获取的解密key解密机械上加密的文件
流程
??中毒后的赎回过程大致如下:
??首先,受害者需要通过Contact us当病毒作者通过受害者发送新闻时,病毒作者自己已经付款了。tor key(00000000.res前8个字节)、计算机名、计算机账户名等信息key如果受害者通过受害者发送的新闻(如比特币转账记录等)确认受害者已付款,则在后台设置受害者开关,以识别受害者可以获得解密key文件。 ??受害者等待一段时间后点击Check Payment,此时,病毒将上传受害者tor key、电脑名称、电脑账户名称、比特币转账地址等。询问受害者是否已确认付款,然后病毒将上传受害者的加密解密key文件(00000000.eky)到了服务端,如果服务端确认受害者已经付款,传key解密文件并返还给受害者(00000000.dky),然后提醒解密。
??受害者点击Decrypt按钮举行解密,解密程序会读取内陆已经从服务端获取的受害者解密key解密受害者机械上加密的文件。 问题
??赎回问题的关键来了:
??因为比特币钱包是匿名的,而且比特币的转账记录是公开的,如果你直接把比特币转账给黑客,你只能祈祷当你联系他时,你可以用语言证已经转移了。
??如果你提前联系黑客,我们已经通过这个实验很多天了Contact us获得联系,没有音信。
??根据以上信息,支付赎回的希望相对较小。 黑吃黑
??事情还没有完成,通过WannaCry对病毒生长过程的研究发现了黑吃黑的迹象WannaCry比特币钱包地址,改收钱地址版WannaCry重新攻击。例如,其中一个冒牌Wannacry将收款地址修改为18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如图:
??通过对该地址的监控,发现受害者已将其转移到该地址。 
??凭据以上剖析,这位转账受害者的文件是不可能赎回了,由于他的付款工具也不知道怎么赎回受害者的文件。【关键词】腾讯电脑管家 WannaCry 解密
WannaCry勒索病毒将成为网络安全的分水岭