經(jīng)過分析，WannaCry病毒提供的贖回流程可能存在一個(gè)讓受害者更加悲慘的漏洞，支付贖金的操作是一個(gè)和計(jì)算機(jī)弱綁定的操作，并不能把受害計(jì)算機(jī)的付款事實(shí)傳遞給黑客。

通俗點(diǎn)說，即使黑客收到了贖金，他也無法準(zhǔn)確知道是誰付的款，該給誰解密。比特幣勒索的受害者對(duì)于支付贖金一定要慎重考慮，對(duì)于通過付款贖回被加密的文件，不要抱太大的期望。

更令人絕望的是，經(jīng)過對(duì)比特幣勒索變種持續(xù)監(jiān)控，分析人員還發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象，有其他黑客通過修改“原版Wannacry”比特幣錢包地址，做出了“改收錢地址版Wannacry”重新進(jìn)行攻擊。而這一部分新的受害者支付的贖金，都進(jìn)修改者的錢包，他們文件也基本不可能贖回了，因?yàn)樗麄儭案跺e(cuò)對(duì)象了”。這里不免讓人思考，所謂的“爆發(fā)版Wannacry”作者是否也是通過修改別的黑客的錢包，而發(fā)起的這次攻擊呢？不得而知，如果真是這樣，也許付款的受害者只能等到?？菔癄€了。

特別說明：

不得不承認(rèn)此次WannaCry勒索病毒影響席卷全球，短期內(nèi)被瞬間引爆，但實(shí)際破壞性還不算大，我們的研究和輸出希望幫助大家理性了解并面對(duì)，并不希望被放大和恐慌。此次我們認(rèn)為這次勒索病毒的作惡手法沒有顯著變化，只是這次與微軟漏洞結(jié)合。針對(duì)勒索病毒已經(jīng)找到了有效的防御方法，而且周一開始病毒傳播已在減弱，用戶只要掌握正確的方法就可以避免，廣大網(wǎng)友不必太驚慌，關(guān)注騰訊安全聯(lián)合實(shí)驗(yàn)室和騰訊電腦管家的研究和防御方案，也呼吁行業(yè)理性應(yīng)對(duì)。我們也會(huì)繼續(xù)追蹤病毒演變。

分析

病毒感染計(jì)算機(jī)后會(huì)彈出一個(gè)支付框:

病毒彈出的支付框中包括三個(gè)關(guān)鍵點(diǎn)

1、 Contact Us 用于聯(lián)系黑客

2、 Check Payment 用于上傳被加密的key文件，服務(wù)器返回用于解密文件的key文件

3、 Decrypt 使用Check Payment獲取的解密key文件對(duì)機(jī)器上被加密的文件進(jìn)行解密

Contact US

Contact Us點(diǎn)擊后會(huì)彈出一個(gè)文本框，用于聯(lián)系病毒作者