1
nfroot OP 从之前各种分析这病毒都觉得这家伙做得挺好的,各方面都考虑到了……
然而却没想到如何把交易流水号和用户绑定……于是产生可能冒领的情况……真是太无语了。反而导致交钱的人可能拿不到数据…… 我这个定时器还有 26 小时就翻倍了 |
2
kruskal 2017-05-22 19:28:03 +08:00 1
据说没重启可以用 Wanakiwi 破解
|
3
malusama 2017-05-22 19:28:16 +08:00 1
http://www.antiy.com/response/Antiy_Wannacry_Pay.html
不是说只是没法连接 TOR 网络才显示那三个固定地址么? |
4
nfroot OP |
5
malusama 2017-05-22 19:46:13 +08:00 1
你是什么系统……好像 XP 的话他的随机数生成有漏洞……
|
6
20160409 2017-05-22 19:57:22 +08:00 via iPhone 1
冒着全球通缉的风险到现在才收了 10 万多美元 亏大发了
|
7
acess 2017-05-22 20:08:52 +08:00 via Android 1
最好的方法是 WanaKiwi,但这玩意来得太迟了,条件也太苛刻。
LZ 试过 DiskGenius 么?虚拟机试过,选完整恢复所有文件,效果还行。 |
8
acess 2017-05-22 20:10:35 +08:00 via Android 1
病毒真的自带 Tor,如果你能用 VPN 之类的让 Tor 能连得上,而且不在乎支付赎金打水漂并鼓励犯罪,可以试试。
按照 Twitter 上传的病毒作者的消息,你应该提前 1 小时用病毒界面的 Contact us 发送你用来付款的那个比特币地址。 |
9
acess 2017-05-22 20:12:27 +08:00 via Android 1
注意 WanaKiwi 自带的进程列表里没有 tasksche.exe !如果你一直没关机重启杀毒,让这个进程稳稳地跑到现在,那一定要试试 WanaKiwi,命令行指定一下 PID 就可以了。
虚拟机试过,很可能有戏的。 |
10
acess 2017-05-22 20:15:14 +08:00 via Android 1
无论处理结果怎么样,注意打补丁和备份,别好不容易解锁完又被加密了。
|
11
acess 2017-05-22 20:25:23 +08:00 via Android 1
|
12
nfroot OP 也就是说,现在文件加密完了,机器也重启过了,靠谱点的方法就是上 VPN 让 tor 连上分配一个比特币钱包的地址……
其实我觉得这玩意逻辑挺完善的,所以才觉得交钱有效,别说什么支持犯罪,公司损失太大了,如果资料全丢失的话。但是也担心交钱没东西…… |
14
nfroot OP |
15
nfroot OP vpn 账号我也没有,只有 SS
|
16
nfroot OP @acess 那种走恢复删除数据的方式试过了,只成功恢复了小部分数据,比例太小,另一个服务器的数据库文件是恢复过来了,实际挂不上去
|
20
nfroot OP @acess 因为数据比较多 恢复数据明显不可能 因为反复写入了很多新数据(加密后的文件) 现在用的 360 的工具恢复的 看了下坏文件会用 4K 为单位存成一个个文件,看起来挺好的,但是实际上没大用,没拆开的文件也是少数才是有效的,大部分无效。所以转了一圈,反而是担心支付钱又得不到数据。“交钱又无法证明那个付款流水号是我的”变成我现在最纠结的问题。因为我也看到了有些教程说“别人的流水号拿来用!”
|
21
ArchStacker 2017-05-22 21:07:16 +08:00 1
好像是如果电脑默认连不上暗网的话,私钥就在这个过程中就传丢了,没有传给作者,所以你即使交了钱作者想帮你恢复数据都不可能
|
22
acess 2017-05-22 21:09:29 +08:00 2
@ArchStacker 如果我没理解错,感染时不需要回传私钥,私钥是用作者的公钥加密后存到硬盘上的(就是 00000000.eky )
|
23
pagxir 2017-05-22 21:16:20 +08:00 via Android 1
所以说嘛,为啥用不靠谱的系统做服务器呢。还有,你们 it 也很不靠谱,都爆发一周居然没打补丁,没作备份。想不中都难。说句难听的话,活该。
|
24
ioriwong 2017-05-22 21:17:09 +08:00 via Android 1
病毒作者也算有心,竟然还自带 Tor...
|
25
ArchStacker 2017-05-22 21:17:54 +08:00 1
@acess 哦,那就是我理解错了
|
26
pagxir 2017-05-22 21:20:06 +08:00 via Android 1
如果资料真的很重要,没必要纠结。因为你没得选。
|
27
nfroot OP |
28
nfroot OP 如果说没连接暗网也能和对方互发信息,那岂不是很容易就暴露自己了?
|
29
pagxir 2017-05-22 21:29:26 +08:00 1
@nfroot 你是应该发信息给它们(通过暗网或者别的),看到有回应之后,在进行下一个动作。如果没有回应那就,只能玩完了。
|
30
wvidc 2017-05-22 23:25:23 +08:00 1
还不如有针对性的玩 这下全球都玩到 却还买不到一套房
|
31
acess 2017-05-22 23:39:48 +08:00 1
大概搜了一下……还是只看到 Mikko Hypponen 的 Twitter 提到过部分付了赎金的受害者解密了文件——从另一个角度说,那就是付了赎金也可能不给解锁……
但如果文件真的重要的话,估计你只能死马当活马医…… |
32
nfroot OP |
33
qymobile 2017-05-23 00:29:48 +08:00 via iPhone 1
反正你就死马当活马医呗,个人认为活不过来了,就当交学费吧
|
34
acess 2017-05-23 00:40:48 +08:00 1
@nfroot
不管你懂不懂,我先废话几句关于加密代理的东西,懂的话直接跳过,不懂的大概看看: 首先……你不是用过 ss 么? ss 的协议一般应用肯定不认识,所以 ss 需要监听本机的一个端口,作为一个 socks5 协议的代理服务器工作。 各种应用先以 socks5 协议(明文)跟 ss 客户端通信,ss 客户端负责把明文的 socks5 转化成加密的 ss 协议,用加密的 ss 协议和 ss 服务器通信。 Tor 的监听本机的 9050 端口也是这个作用,作为 socks4a 协议的代理服务工作。但 Tor 的情况相当于 ss 服务器被某墙封掉了。 WanaCry 自带了一个 Tor,你不需要对外开放 9050 端口,你只要让这个自带的 Tor 能工作就可以了——你需要用 VPN,或者路由上装个 ss-redir、ss+redsocks 等手段,让 Tor 翻墙出去。 |
35
acess 2017-05-23 00:54:56 +08:00 1
|
36
acess 2017-05-23 01:41:26 +08:00 1
@nfroot 如果我的一通瞎分析居然没搞错,那你只需要按照勒索者说的,提前一小时告诉勒索者你后来用来付款的钱包地址就可以了。
|
37
nfroot OP @acess 我是明白你说的 Tor 也在前面回复中就明白正确处理流程了,想想真够可悲的,别人想着如何不付钱解决,咱们想着如何才能付钱……
|
38
acess 2017-05-23 09:27:02 +08:00
@nfroot
数据恢复手段真的没用么? 等得起的话,也许可以等着这帮家伙被逮捕,然后公开私钥…… 至于找他们要新的收款地址……我有点怀疑勒索作者能不能和你聊上(也许他们只能群发消息,不能一对一聊天)。而且,勒索作者自己说的方法是提前 1 小时把用来付款的比特币地址发给他们。 |
39
nfroot OP @acess zip 文件废,mdf 文件废,pdf 文件废,jpg 碰运气,如果像你说的那样,不能先行沟通又变得麻烦可不可控了。
|
40
nfroot OP 它删除文件之前会对文件是否重要做出判断,重要的话就会加密了一部分内容覆盖再删除。我用的 360 的恢复工具,有些文件恢复时被拆成 4K 的文件,所以……少数文件被拆成了几千个文件……从结果来看,基本没什么用,那些走这条路的工具软件估计效果差不多
(恢复数据最忌讳的就是删除文件还往这个盘里写入文件,然而这个病毒又是一边加密一边删除的,所以严重存在删除文件后还写入大量文件的特点) |
41
acess 2017-05-23 09:51:42 +08:00
@nfroot 我说得太啰嗦……其实很简单,如果勒索者还有信用,那只要提前通知他们自己会用哪个地址付款就够了。
另外……说实话,感觉 360 的工具看上去并没有他们吹得那么神,可能还不如 DiskGenius 等老牌的其他工具。 |
42
nfroot OP @acess 不知道你了解比特币吗?我对比特币没有了解,想知道如何创建钱包到买比特币到支付给对方的简单流程(简单说一下就好,比如去哪个网站,买比特币是否可以直接买,买和转账给对方是否有延时 [就像银行汇款一样,是否有延迟] )
|
43
acess 2017-05-23 11:27:34 +08:00
@nfroot 说实话……我也不太了解比特币。
https://bitcoin.org/zh_CN/getting-started 你可以看看这个。 交易有延迟,十几分钟。 另外,无论用新生成的地址,还是找人代付,都有风险,谨慎。 |