流程

綜上分析，受害者中毒后的贖回過(guò)程大致如下

首先受害者需要通過(guò)Contact us告知病毒作者自己已經(jīng)付款，這時(shí)病毒作者通過(guò)受害者發(fā)送消息時(shí)附加上傳的tor key(00000000.res前8個(gè)字節(jié))、電腦名、電腦賬戶名等信息作為key值唯一標(biāo)識(shí)受害者，如果通過(guò)受害者發(fā)送的消息(如比特幣轉(zhuǎn)賬記錄等)確認(rèn)該受害者付過(guò)款，會(huì)在后臺(tái)設(shè)置一個(gè)針對(duì)該受害者的開(kāi)關(guān)，標(biāo)識(shí)該受害者可以獲取解密key文件。

受害者等待一段時(shí)間后點(diǎn)擊Check Payment，這時(shí)病毒會(huì)上傳受害者的tor key、電腦名、電腦賬戶名、比特幣轉(zhuǎn)賬地址等詢問(wèn)服務(wù)器該受害者是否被確認(rèn)已經(jīng)付款，然后病毒會(huì)上傳受害者的一個(gè)帶有被加密過(guò)的解密key文件(00000000.eky)到服務(wù)端，服務(wù)端如果確認(rèn)受害者已經(jīng)付款會(huì)把上傳上來(lái)的key文件解密，并返還給受害者(00000000.dky)，然后提示可以解密。

受害者點(diǎn)擊Decrypt按鈕進(jìn)行解密，解密程序會(huì)讀取本地已經(jīng)從服務(wù)端獲取的受害者解密key文件，對(duì)受害者機(jī)器上被加密的文件進(jìn)行解密。

問(wèn)題

贖回問(wèn)題的關(guān)鍵來(lái)了：

因?yàn)楸忍貛佩X包是匿名的，而比特幣的轉(zhuǎn)賬記錄又是公開(kāi)的，如果直接把比特幣轉(zhuǎn)賬給了黑客，那么只能祈禱當(dāng)你聯(lián)系上他時(shí)，能夠用語(yǔ)言來(lái)證明那錢是你轉(zhuǎn)過(guò)去的。

如果提前聯(lián)系黑客呢？這個(gè)我們已經(jīng)嘗試好多天與黑客通過(guò)Contact us取得聯(lián)系，音信全無(wú)。

結(jié)合上述信息來(lái)看，通過(guò)支付贖回的希望是比較小的。

黑吃黑

事情還沒(méi)有結(jié)束，經(jīng)過(guò)對(duì)Wannacry病毒的發(fā)展歷程的研究，發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象，”冒牌黑客”通過(guò)修改“原版Wannacry”比特幣錢包地址，做出了“改收錢地址版Wannacry”重新進(jìn)行攻擊。如其中一個(gè)“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV，如圖

經(jīng)過(guò)對(duì)這個(gè)地址的監(jiān)控，發(fā)現(xiàn)已有受害者向該地址轉(zhuǎn)賬

根據(jù)以上分析，這位轉(zhuǎn)賬受害者的文件是不可能贖回了，因?yàn)樗母犊顚?duì)象也不知道怎么贖回受害者的文件。