V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  acess  ›  全部回复第 91 页 / 共 113 页
回复总数  2242
1 ... 87  88  89  90  91  92  93  94  95  96 ... 113  
2017-05-23 01:46:46 +08:00
回复了 acess 创建的主题 Bitcoin 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份?
@malusama 这流程哪里不合理啊……
分析:
http://bobao.360.cn/learning/detail/3853.html
@nfroot 如果我的一通瞎分析居然没搞错,那你只需要按照勒索者说的,提前一小时告诉勒索者你后来用来付款的钱包地址就可以了。
2017-05-23 01:38:02 +08:00
回复了 acess 创建的主题 Bitcoin 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份?
@malusama Tor 是 WanaCry 自带的。
2017-05-23 01:37:46 +08:00
回复了 acess 创建的主题 Bitcoin 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份?
@malusama 根据现有的分析,WanaCry 就是这么干的。
个人理解,这样可以做到每个文件都有唯一的 AES 密钥、每台中招机都有唯一的 RSA 密钥。然后,就算 dump 内存也只能找到一个文件的 AES 密钥,无法解救其他文件;就算有受害者把赎金买来的私钥公开了,也无法解救其他受害者。
当然,WanaKiwi 利用了能重新生成 RSA 私钥的质数并没有从内存中清除的缺陷……
2017-05-23 01:31:05 +08:00
回复了 acess 创建的主题 Bitcoin 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份?
@malusama 如果后续想办法让 Tor 能连得上(比如 VPN、路由器装 ss 等),我觉得还是没问题的。
2017-05-23 01:30:22 +08:00
回复了 acess 创建的主题 Bitcoin 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份?
@malusama
病毒感染时在本机生成一个 RSA 密钥对,其中,私钥被硬编码在程序里的 RSA 公钥加密,这样就只有勒索者才能把这个私钥重新解密出来。
每个文件的 AES 密钥都不一样,执行加密时,会把每个文件的 AES 密钥都用本机的 RSA 公钥加密。
2017-05-23 01:26:50 +08:00
回复了 acess 创建的主题 Bitcoin 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份?
@malusama 但不是说很多中招的都只显示已知的三个地址么……所以才有无法确认付款者身份的说法。
@nfroot 我也瞎分析了一波,针对“收款地址只有一个”的问题:
https://www.v2ex.com/t/363090
不知道对不对。
2017-05-23 00:53:26 +08:00
回复了 acess 创建的主题 Bitcoin 为啥我觉得 WanaCrypt 背后的操纵者有能力验证付款者的身份?
在虚拟机里可以看到,点了界面上的“ Contact us ”后,程序会读取 00000000.res 文件,按照安天的分析( http://www.antiy.com/response/Antiy_Wannacry_Pay.html ),它是加密的文件数量、大小等信息,每个人应该都不一样吧。
如果这些信息连同付款地址一同通过暗网被发送给勒索者,应该也足以让勒索者辨认受害者的身份了。暗网连接是加密的,这些信息应该也不会外泄,那么,“鸡贼”的受害者想把自己的 00000000.res 伪装成别人的也是空想。

不过,分析了那么多,就算 LZ 没搞错,还得看勒索者的智商和“信用”啊……无论如何,谁也无法阻止勒索者就此卷款跑路……
@nfroot

不管你懂不懂,我先废话几句关于加密代理的东西,懂的话直接跳过,不懂的大概看看:
首先……你不是用过 ss 么? ss 的协议一般应用肯定不认识,所以 ss 需要监听本机的一个端口,作为一个 socks5 协议的代理服务器工作。
各种应用先以 socks5 协议(明文)跟 ss 客户端通信,ss 客户端负责把明文的 socks5 转化成加密的 ss 协议,用加密的 ss 协议和 ss 服务器通信。
Tor 的监听本机的 9050 端口也是这个作用,作为 socks4a 协议的代理服务工作。但 Tor 的情况相当于 ss 服务器被某墙封掉了。

WanaCry 自带了一个 Tor,你不需要对外开放 9050 端口,你只要让这个自带的 Tor 能工作就可以了——你需要用 VPN,或者路由上装个 ss-redir、ss+redsocks 等手段,让 Tor 翻墙出去。
大概搜了一下……还是只看到 Mikko Hypponen 的 Twitter 提到过部分付了赎金的受害者解密了文件——从另一个角度说,那就是付了赎金也可能不给解锁……
但如果文件真的重要的话,估计你只能死马当活马医……
@ArchStacker 如果我没理解错,感染时不需要回传私钥,私钥是用作者的公钥加密后存到硬盘上的(就是 00000000.eky )
@nfroot 另外,你是什么时候中的?我总觉得 5.12 那一波最大,现在应该消停不少了啊。
@nfroot 找效率源他们看看能不能把坏的地方忽略掉?如果真的被病毒用随机数据覆盖了,那还是没救……
@nfroot 还有 DiskGenius 等一大票数据恢复工具可以试。可以直接联系他们。
@nfroot 你试过 WanaKiwi 了吗?
虚拟机 XP 试过,看上去成功率挺高。
不过不能杀毒不能关机不能重启,这要求确实比较苛刻。
无论处理结果怎么样,注意打补丁和备份,别好不容易解锁完又被加密了。
注意 WanaKiwi 自带的进程列表里没有 tasksche.exe !如果你一直没关机重启杀毒,让这个进程稳稳地跑到现在,那一定要试试 WanaKiwi,命令行指定一下 PID 就可以了。
虚拟机试过,很可能有戏的。
病毒真的自带 Tor,如果你能用 VPN 之类的让 Tor 能连得上,而且不在乎支付赎金打水漂并鼓励犯罪,可以试试。
按照 Twitter 上传的病毒作者的消息,你应该提前 1 小时用病毒界面的 Contact us 发送你用来付款的那个比特币地址。
最好的方法是 WanaKiwi,但这玩意来得太迟了,条件也太苛刻。
LZ 试过 DiskGenius 么?虚拟机试过,选完整恢复所有文件,效果还行。
1 ... 87  88  89  90  91  92  93  94  95  96 ... 113  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6075 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 26ms · UTC 02:40 · PVG 10:40 · LAX 18:40 · JFK 21:40
Developed with CodeLauncher
♥ Do have faith in what you're doing.