V2EX › acess 的所有回复 › 第 90 页 / 共 113 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 86 87 88 89 90 91 92 93 94 95 ... 113

❮

❯

2017-05-23 16:38:51 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@Netherlands
受害者因为思维惯性，可能只会买金额和赎金差不多的比特币，买到的比特币很可能会通过一笔交易直接转到新的比特币钱包地址里，我觉得这是个特征。所以，也许可以追踪最近的交易记录，筛选出这种看上去像是要付赎金的钱包，然后抢先把钱包地址发给勒索者。

2017-05-23 16:34:08 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@Netherlands
根据这则消息，WanaCry 的作者意识到自己犯了错误，后来做了修正，但影响不大。
https://twitter.com/threatintel/status/864802886471090176

2017-05-23 16:24:16 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@Netherlands 按我的理解，比特币的交易速度远远没有达到无法追踪的地步，我觉得也许会有特别鸡贼的受害者（或者受害者找的帮手）会用这种猥琐的思路找看上去像是准备要付款的钱包（一查交易记录，哇，只有一笔，还跟赎金差不多），然后拿找到的钱包地址去骗勒索者。勒索者会怎么处理就不得而知了。反正他直接跑路也是暂时没办法的……

2017-05-23 16:03:11 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@Netherlands 我只是担心有人盯着最近的交易记录，看到像是要付赎金的，就赶紧拿去发给勒索者。如果在付款之前想办法隐瞒后来的付款地址，那应该就可以避免这个问题。
另外，用虚拟机又试了一下，我的样本在翻墙的环境下仍然给出了 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 这个地址。

2017-05-23 15:40:12 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@nfroot @Netherlands
我再拿虚拟机试试吧……反正勒索作者确实对受害者广播过“请在付款一小时之前告诉我你用来付款的钱包地址”的消息，个人觉得这样也是可行的。

如果要支付赎金，我觉得应该这样：购买比特币，最好分散到 A B C 等多个地址里，防止有思路猥琐的中招者通过最近交易记录和余额猜出可能会在最近支付赎金的钱包地址抢先发给勒索者。
然后，新生成一个钱包地址 X，点 Contact us 告诉作者自己的钱包地址 X，等大概 1 个小时，把 A B C 等几个地址里的比特币汇到 X 里，再用 X 付款。
不知道这么做有没有问题……

2017-05-23 15:17:23 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@Netherlands 2 3 可能也是我想多了，现在流传的“社工破解”好像都是把 txid 发过去，可能已经有很多人这么干了，但未必有人想到去盯着比特币交易记录，然后把最可能付赎金的钱包地址提前发给勒索者。

2017-05-23 15:12:42 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@Netherlands 猜测 1 可能不成立，也许作者可以一对一回应消息，可能需要手动受害者点一下 Check Payment 吧。

2017-05-23 15:09:39 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

@Netherlands 我不太熟悉比特币，拍脑袋想到的问题:
1.病毒作者也许只能群发消息，不能一对一聊天……然后他可能很难再为受害者分配一个唯一的收款地址
2.找人代付，用猥琐的思路考虑的话，可能会有其他受害者提前把代付用的比特币地址发过去骗勒索者解锁。
3.自己新生成一个地址，里面还没有比特币，如果对它转账，数额和赎金类似的话，也可能被其他受害者把钱包地址发过去骗勒索者解锁。

LZ 的时间不多了，但愿我没添额外的麻烦。

2017-05-23 15:02:19 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能否简单粗暴的说一下如何购买比特币转账给勒索者

http://www.freebuf.com/articles/system/135196.html
不过文章中是先付款后发消息告知比特币地址，和勒索作者群发的消息不一样，按照群发的消息，应该是付款前 1 小时把地址发过去。

2017-05-23 11:27:34 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能不能找到 Wannacry 被勒索交赎金后的亲历者证明作者是否会赖账？

@nfroot 说实话……我也不太了解比特币。
https://bitcoin.org/zh_CN/getting-started
你可以看看这个。
交易有延迟，十几分钟。
另外，无论用新生成的地址，还是找人代付，都有风险，谨慎。

2017-05-23 10:04:29 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

@imcoddy 如果有很多受害者都找某个人代付，然后都用一个地址付款，也是有“小票被抢走”的风险的：可能有受害者不管三七二十一，直接把最常给勒索者付款的那几个地址发给勒索者，赌过一段时间后会有人付款。

2017-05-23 09:55:18 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

@imcoddy 新地址不是没币，需要先转进去么……所以，我刚刚担心的，和知乎上那个方法还是有点不一样的吧？知乎上的方法不是盯着勒索者的钱包么，我的意思是其他受害者可能会盯上所有钱包，看到像是准备要付款的地址就赶紧抢过来用。

2017-05-23 09:51:42 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能不能找到 Wannacry 被勒索交赎金后的亲历者证明作者是否会赖账？

@nfroot 我说得太啰嗦……其实很简单，如果勒索者还有信用，那只要提前通知他们自己会用哪个地址付款就够了。
另外……说实话，感觉 360 的工具看上去并没有他们吹得那么神，可能还不如 DiskGenius 等老牌的其他工具。

2017-05-23 09:48:20 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

@imcoddy 突然觉得用新地址反而有风险：如果受害者还没把新地址告诉勒索者，就自己把勒索者要求的金额转进新地址了，那么，可能有鸡贼的受害者在盯着这块，一看到有人转了数额和赎金相近的金额，就抢先把这个地址发给勒索者。

2017-05-23 09:45:05 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

@imcoddy 是的，我主贴在这块说的有问题，即使不用新地址也是可以的，只要提前把用来付款的地址发给勒索者就可以了。

2017-05-23 09:27:02 +08:00

回复了 nfroot 创建的主题 › 问与答 › 能不能找到 Wannacry 被勒索交赎金后的亲历者证明作者是否会赖账？

@nfroot
数据恢复手段真的没用么？

等得起的话，也许可以等着这帮家伙被逮捕，然后公开私钥……

至于找他们要新的收款地址……我有点怀疑勒索作者能不能和你聊上（也许他们只能群发消息，不能一对一聊天）。而且，勒索作者自己说的方法是提前 1 小时把用来付款的比特币地址发给他们。

2017-05-23 02:15:06 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

@malusama
勒索者手里有 RSA 密钥对 A，包括公钥 A 和私钥 A
每个受害者机器都生成了唯一的 RSA 密钥对 X，包括公钥 X 和私钥 X。私钥 X 刚生成出来就被公钥 A 加密，然后保存在受害者的硬盘上。
受害者支付赎金解锁时，受害者发给勒索者的就是被公钥 A 加密过的私钥 X，勒索者用私钥 A 解密出私钥 X，再把它发给受害者。

2017-05-23 02:09:26 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

我觉得如果勒索作者没有依靠本机生成的 RSA 密钥来辨认受害者的身份，那就是有漏洞的：可能有一群鸡贼的受害者，在联系勒索者、付款前就把 00000000.res 等机器特征信息都伪装成一样的了。
可以想见，如果勒索者忘了检查每一个机器特征是否有多个 RSA 密钥尝试申请解锁（对应多个明显是想用一份赎金骗多份解锁），那受害者们也许就可以用一份赎金解锁 N 台电脑的所有文件了。
但是，勒索者也许不会吃这一招……

2017-05-23 01:54:12 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

@malusama 本机生成的 RSA 私钥从一开始就用勒索作者硬编码在程序里的 RSA 公钥加密了，所以只有找勒索者才能把本机生成的 RSA 私钥重新解开，然后才能挨个解密每一个文件的 AES 密钥、再用 AES 密钥解密文件数据。

2017-05-23 01:48:57 +08:00

回复了 acess 创建的主题 › Bitcoin › 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份？

@malusama 本地生成 RSA 的意义我已经说过了：每台中招机都有唯一的 RSA 密钥，就算有受害者把赎金买来的私钥公开了，也无法解救其他受害者。每个文件都有唯一的 AES 密钥，就算 dump 内存也只能找到一个文件的 AES 密钥，无法解救其他文件。
除此之外，这样也提供了方便，受害者只需要一个 RSA 私钥就可以解密本机所有文件，不需要把所有 AES 密钥都传给勒索者去解密。

1 ... 86 87 88 89 90 91 92 93 94 95 ... 113

❮

❯