V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nfroot
V2EX  ›  问与答

能不能找到 Wannacry 被勒索交赎金后的亲历者证明作者是否会赖账?

  •  
  •   nfroot · 2017-05-22 19:24:15 +08:00 · 5106 次点击
    这是一个创建于 2741 天前的主题,其中的信息可能已经有所发展或是发生改变。
    英文不会搜……中文媒体都是一边倒的说不要转钱,然而不转钱的话是完全一点希望都没有(已经尝试了各种方案),转钱了又怕作者不鸟人……

    不找回资料的话损失大了,转账了还找不回损失就更大了,没赚钱错失了找回资料的机会就更烦恼了。

    从比特币钱包的情况看,作者已经收到 70 万人民币的比特币了……

    所以支付了钱的话到底能不能找回资料呢……
    43 条回复    2017-05-23 11:27:34 +08:00
    nfroot
        1
    nfroot  
    OP
       2017-05-22 19:26:25 +08:00
    从之前各种分析这病毒都觉得这家伙做得挺好的,各方面都考虑到了……

    然而却没想到如何把交易流水号和用户绑定……于是产生可能冒领的情况……真是太无语了。反而导致交钱的人可能拿不到数据……

    我这个定时器还有 26 小时就翻倍了
    kruskal
        2
    kruskal  
       2017-05-22 19:28:03 +08:00   ❤️ 1
    据说没重启可以用 Wanakiwi 破解
    malusama
        3
    malusama  
       2017-05-22 19:28:16 +08:00   ❤️ 1
    http://www.antiy.com/response/Antiy_Wannacry_Pay.html
    不是说只是没法连接 TOR 网络才显示那三个固定地址么?
    nfroot
        4
    nfroot  
    OP
       2017-05-22 19:35:43 +08:00
    @kruskal 然而……试过了,数据恢复的方式也试过了,巨坑。
    @malusama 疑惑了,这个病毒还自带 tor 客户端吗?要不然一般电脑也不能连暗网吧。
    malusama
        5
    malusama  
       2017-05-22 19:46:13 +08:00   ❤️ 1
    你是什么系统……好像 XP 的话他的随机数生成有漏洞……
    20160409
        6
    20160409  
       2017-05-22 19:57:22 +08:00 via iPhone   ❤️ 1
    冒着全球通缉的风险到现在才收了 10 万多美元 亏大发了
    acess
        7
    acess  
       2017-05-22 20:08:52 +08:00 via Android   ❤️ 1
    最好的方法是 WanaKiwi,但这玩意来得太迟了,条件也太苛刻。
    LZ 试过 DiskGenius 么?虚拟机试过,选完整恢复所有文件,效果还行。
    acess
        8
    acess  
       2017-05-22 20:10:35 +08:00 via Android   ❤️ 1
    病毒真的自带 Tor,如果你能用 VPN 之类的让 Tor 能连得上,而且不在乎支付赎金打水漂并鼓励犯罪,可以试试。
    按照 Twitter 上传的病毒作者的消息,你应该提前 1 小时用病毒界面的 Contact us 发送你用来付款的那个比特币地址。
    acess
        9
    acess  
       2017-05-22 20:12:27 +08:00 via Android   ❤️ 1
    注意 WanaKiwi 自带的进程列表里没有 tasksche.exe !如果你一直没关机重启杀毒,让这个进程稳稳地跑到现在,那一定要试试 WanaKiwi,命令行指定一下 PID 就可以了。
    虚拟机试过,很可能有戏的。
    acess
        10
    acess  
       2017-05-22 20:15:14 +08:00 via Android   ❤️ 1
    无论处理结果怎么样,注意打补丁和备份,别好不容易解锁完又被加密了。
    acess
        11
    acess  
       2017-05-22 20:25:23 +08:00 via Android   ❤️ 1
    @nfroot 你试过 WanaKiwi 了吗?
    虚拟机 XP 试过,看上去成功率挺高。
    不过不能杀毒不能关机不能重启,这要求确实比较苛刻。
    nfroot
        12
    nfroot  
    OP
       2017-05-22 20:28:35 +08:00
    也就是说,现在文件加密完了,机器也重启过了,靠谱点的方法就是上 VPN 让 tor 连上分配一个比特币钱包的地址……

    其实我觉得这玩意逻辑挺完善的,所以才觉得交钱有效,别说什么支持犯罪,公司损失太大了,如果资料全丢失的话。但是也担心交钱没东西……
    acess
        13
    acess  
       2017-05-22 20:30:46 +08:00 via Android   ❤️ 1
    @nfroot 还有 DiskGenius 等一大票数据恢复工具可以试。可以直接联系他们。
    nfroot
        14
    nfroot  
    OP
       2017-05-22 20:31:29 +08:00
    @acess 太苛刻了,下意识就把杀毒软件拿出来扫描内存了……要知道如果不先处理病毒,又怕使用各种方法恢复回来的数据泡水了。

    试过了,无效
    nfroot
        15
    nfroot  
    OP
       2017-05-22 20:32:49 +08:00
    vpn 账号我也没有,只有 SS
    nfroot
        16
    nfroot  
    OP
       2017-05-22 20:33:40 +08:00
    @acess 那种走恢复删除数据的方式试过了,只成功恢复了小部分数据,比例太小,另一个服务器的数据库文件是恢复过来了,实际挂不上去
    acess
        17
    acess  
       2017-05-22 20:34:43 +08:00   ❤️ 1
    @nfroot 找效率源他们看看能不能把坏的地方忽略掉?如果真的被病毒用随机数据覆盖了,那还是没救……
    acess
        18
    acess  
       2017-05-22 20:37:54 +08:00   ❤️ 1
    @nfroot 另外,你是什么时候中的?我总觉得 5.12 那一波最大,现在应该消停不少了啊。
    nfroot
        19
    nfroot  
    OP
       2017-05-22 20:46:22 +08:00
    @acess 上周双休 周六中了(我们虽然双休了,但是有少部分人还是上班的),所以明天晚上就会翻倍了。
    nfroot
        20
    nfroot  
    OP
       2017-05-22 20:50:15 +08:00
    @acess 因为数据比较多 恢复数据明显不可能 因为反复写入了很多新数据(加密后的文件) 现在用的 360 的工具恢复的 看了下坏文件会用 4K 为单位存成一个个文件,看起来挺好的,但是实际上没大用,没拆开的文件也是少数才是有效的,大部分无效。所以转了一圈,反而是担心支付钱又得不到数据。“交钱又无法证明那个付款流水号是我的”变成我现在最纠结的问题。因为我也看到了有些教程说“别人的流水号拿来用!”
    ArchStacker
        21
    ArchStacker  
       2017-05-22 21:07:16 +08:00   ❤️ 1
    好像是如果电脑默认连不上暗网的话,私钥就在这个过程中就传丢了,没有传给作者,所以你即使交了钱作者想帮你恢复数据都不可能
    acess
        22
    acess  
       2017-05-22 21:09:29 +08:00   ❤️ 2
    @ArchStacker 如果我没理解错,感染时不需要回传私钥,私钥是用作者的公钥加密后存到硬盘上的(就是 00000000.eky )
    pagxir
        23
    pagxir  
       2017-05-22 21:16:20 +08:00 via Android   ❤️ 1
    所以说嘛,为啥用不靠谱的系统做服务器呢。还有,你们 it 也很不靠谱,都爆发一周居然没打补丁,没作备份。想不中都难。说句难听的话,活该。
    ioriwong
        24
    ioriwong  
       2017-05-22 21:17:09 +08:00 via Android   ❤️ 1
    病毒作者也算有心,竟然还自带 Tor...
    ArchStacker
        25
    ArchStacker  
       2017-05-22 21:17:54 +08:00   ❤️ 1
    @acess 哦,那就是我理解错了
    pagxir
        26
    pagxir  
       2017-05-22 21:20:06 +08:00 via Android   ❤️ 1
    如果资料真的很重要,没必要纠结。因为你没得选。
    nfroot
        27
    nfroot  
    OP
       2017-05-22 21:25:28 +08:00
    @acess
    @ArchStacker
    @pagxir
    既然它通过暗网通讯,那没有连上暗网的时候,也无法给他发信息才对,所以交了钱发信息也根本发布到对方手里?
    nfroot
        28
    nfroot  
    OP
       2017-05-22 21:27:06 +08:00
    如果说没连接暗网也能和对方互发信息,那岂不是很容易就暴露自己了?
    pagxir
        29
    pagxir  
       2017-05-22 21:29:26 +08:00   ❤️ 1
    @nfroot 你是应该发信息给它们(通过暗网或者别的),看到有回应之后,在进行下一个动作。如果没有回应那就,只能玩完了。
    wvidc
        30
    wvidc  
       2017-05-22 23:25:23 +08:00   ❤️ 1
    还不如有针对性的玩 这下全球都玩到 却还买不到一套房
    acess
        31
    acess  
       2017-05-22 23:39:48 +08:00   ❤️ 1
    大概搜了一下……还是只看到 Mikko Hypponen 的 Twitter 提到过部分付了赎金的受害者解密了文件——从另一个角度说,那就是付了赎金也可能不给解锁……
    但如果文件真的重要的话,估计你只能死马当活马医……
    nfroot
        32
    nfroot  
    OP
       2017-05-23 00:04:13 +08:00
    @pagxir
    @acess
    再找了一圈,算是明白了,正确的流程往往都没人提(太少人提),正确的流程应当是这样的,连上 Tor,开放端口 9050,联系作者要求给一个独立的比特币钱包地址用于付款(连上了 tor 才能联系到作者)

    但是国内媒体一边倒的说联系了没反应,这个结果挺让人无法接受的。反正直接打钱是不对的,要独立账号,就不会被冒领,而从各方分析病毒的程序逻辑来看,整套恢复逻辑是存在的,那么付款给东西,应该没赖账的必要。

    以上是收集到并猜测的
    qymobile
        33
    qymobile  
       2017-05-23 00:29:48 +08:00 via iPhone   ❤️ 1
    反正你就死马当活马医呗,个人认为活不过来了,就当交学费吧
    acess
        34
    acess  
       2017-05-23 00:40:48 +08:00   ❤️ 1
    @nfroot

    不管你懂不懂,我先废话几句关于加密代理的东西,懂的话直接跳过,不懂的大概看看:
    首先……你不是用过 ss 么? ss 的协议一般应用肯定不认识,所以 ss 需要监听本机的一个端口,作为一个 socks5 协议的代理服务器工作。
    各种应用先以 socks5 协议(明文)跟 ss 客户端通信,ss 客户端负责把明文的 socks5 转化成加密的 ss 协议,用加密的 ss 协议和 ss 服务器通信。
    Tor 的监听本机的 9050 端口也是这个作用,作为 socks4a 协议的代理服务工作。但 Tor 的情况相当于 ss 服务器被某墙封掉了。

    WanaCry 自带了一个 Tor,你不需要对外开放 9050 端口,你只要让这个自带的 Tor 能工作就可以了——你需要用 VPN,或者路由上装个 ss-redir、ss+redsocks 等手段,让 Tor 翻墙出去。
    acess
        35
    acess  
       2017-05-23 00:54:56 +08:00   ❤️ 1
    @nfroot 我也瞎分析了一波,针对“收款地址只有一个”的问题:
    https://www.v2ex.com/t/363090
    不知道对不对。
    acess
        36
    acess  
       2017-05-23 01:41:26 +08:00   ❤️ 1
    @nfroot 如果我的一通瞎分析居然没搞错,那你只需要按照勒索者说的,提前一小时告诉勒索者你后来用来付款的钱包地址就可以了。
    nfroot
        37
    nfroot  
    OP
       2017-05-23 08:53:24 +08:00
    @acess 我是明白你说的 Tor 也在前面回复中就明白正确处理流程了,想想真够可悲的,别人想着如何不付钱解决,咱们想着如何才能付钱……
    acess
        38
    acess  
       2017-05-23 09:27:02 +08:00
    @nfroot
    数据恢复手段真的没用么?

    等得起的话,也许可以等着这帮家伙被逮捕,然后公开私钥……

    至于找他们要新的收款地址……我有点怀疑勒索作者能不能和你聊上(也许他们只能群发消息,不能一对一聊天)。而且,勒索作者自己说的方法是提前 1 小时把用来付款的比特币地址发给他们。
    nfroot
        39
    nfroot  
    OP
       2017-05-23 09:44:25 +08:00
    @acess zip 文件废,mdf 文件废,pdf 文件废,jpg 碰运气,如果像你说的那样,不能先行沟通又变得麻烦可不可控了。
    nfroot
        40
    nfroot  
    OP
       2017-05-23 09:49:09 +08:00
    它删除文件之前会对文件是否重要做出判断,重要的话就会加密了一部分内容覆盖再删除。我用的 360 的恢复工具,有些文件恢复时被拆成 4K 的文件,所以……少数文件被拆成了几千个文件……从结果来看,基本没什么用,那些走这条路的工具软件估计效果差不多
    (恢复数据最忌讳的就是删除文件还往这个盘里写入文件,然而这个病毒又是一边加密一边删除的,所以严重存在删除文件后还写入大量文件的特点)
    acess
        41
    acess  
       2017-05-23 09:51:42 +08:00
    @nfroot 我说得太啰嗦……其实很简单,如果勒索者还有信用,那只要提前通知他们自己会用哪个地址付款就够了。
    另外……说实话,感觉 360 的工具看上去并没有他们吹得那么神,可能还不如 DiskGenius 等老牌的其他工具。
    nfroot
        42
    nfroot  
    OP
       2017-05-23 11:04:15 +08:00
    @acess 不知道你了解比特币吗?我对比特币没有了解,想知道如何创建钱包到买比特币到支付给对方的简单流程(简单说一下就好,比如去哪个网站,买比特币是否可以直接买,买和转账给对方是否有延时 [就像银行汇款一样,是否有延迟] )
    acess
        43
    acess  
       2017-05-23 11:27:34 +08:00
    @nfroot 说实话……我也不太了解比特币。
    https://bitcoin.org/zh_CN/getting-started
    你可以看看这个。
    交易有延迟,十几分钟。
    另外,无论用新生成的地址,还是找人代付,都有风险,谨慎。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1712 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:40 · PVG 00:40 · LAX 08:40 · JFK 11:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.