这是一个创建于 3080 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近这玩意儿挺火啊, 同校的好多同学都被勒索了. 作为可能是全校唯一一个日常使用 linux 的学生, 倒也想尝试尝试这枚传说中的病毒. 然后就去问同学考了个, 然后在 windwos 环境下装个个 sandboxie, 以身试毒...
然后我就发现了许多有意思的事情:
- 不同机器生成的比特币地址不同, 同一台机器多次生成的比特币地址相同.
- 同样一台机器, 加密多次同样的文件, 结果不同
- 断网的情况下不能获取正确的时间
- 点击 Decrypt 真的能恢复少量数据, 即使关闭软件重新打开(说明密钥确实在哪儿存着)
- 抓包发现与 183.60.17.190, 112.90.86.25 等 IP 有通讯(443 端口)
诸位 V2EX 大神们怎么看, 有没有研究过这玩意的?
顺便, V2 没有病毒节点?
C5260C6FE9EFC8C40FA85444A6E3BB865465F5AF60514F91422DF4949ACF162E511305F8BB64B20F83FA1D69C0C56074FA5A34CF3B64BD0A0662E1BDB6AA3B97
8 条回复 2017-05-14 13:25:47 +08:00
 | 1 hjc4869 2017-05-14 02:27:16 +08:00 sandboxie 试毒,楼主好有勇气…… |
 | 2 acess 2017-05-14 02:30:23 +08:00 我觉得不是这个专业的还是别瞎折腾了……现在信息噪音已经很大了,各种谣言飞起。 |
 | 3 nfroot 2017-05-14 03:06:10 +08:00 不是说已经失效了么 因为注册了那个域名 |
 | 4 ouqihang 2017-05-14 09:41:20 +08:00 勇士,用虚拟机还要提防有没有完全断网呢,以防在局域网散开。这撸个 sandbox 就开干。。。我相信世界顶尖杀软实验室都在研究。 |
| 5 ouqihang 2017-05-14 10:51:28 +08:00  1 发太多外链被禁止了,看我在这个帖子里面的地址 #11 t/361158#reply11 有人分析过了,很详细,加密哪些后缀都有,很惊奇没加密 PDF。 |
 | 6 0TSH60F7J2rVkg8t 2017-05-14 12:01:56 +08:00 1 少量能解密的文件是因为软件辑里会随机用主密钥加密文件,其它文件用生成的动态密钥加密,所以主密钥加密的文件能解密。 |
 | 7 bxgty 2017-05-14 12:29:47 +08:00 1 http://blog.talosintelligence.com/2017/05/wannacry.html 上面的链接有些行为和代码的分析。 |
| 8 bxgty 2017-05-14 13:25:47 +08:00 1 突然发现绿盟也有 blog 分析了。内容上大同小异,只是这个更详细点。 http://blog.nsfocus.net/wannacry-extortion-virus-nti-public-analysis-report/ |
Select Language