V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
8023
V2EX  ›  问与答

研究研究 wcry2.0

  •  
  •   8023 · 2017-05-14 02:12:07 +08:00 · 2758 次点击
    这是一个创建于 2755 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近这玩意儿挺火啊, 同校的好多同学都被勒索了. 作为可能是全校唯一一个日常使用 linux 的学生, 倒也想尝试尝试这枚传说中的病毒. 然后就去问同学考了个, 然后在 windwos 环境下装个个 sandboxie, 以身试毒...

    然后我就发现了许多有意思的事情:

    • 不同机器生成的比特币地址不同, 同一台机器多次生成的比特币地址相同.
    • 同样一台机器, 加密多次同样的文件, 结果不同
    • 断网的情况下不能获取正确的时间
    • 点击 Decrypt 真的能恢复少量数据, 即使关闭软件重新打开(说明密钥确实在哪儿存着)
    • 抓包发现与 183.60.17.190, 112.90.86.25 等 IP 有通讯(443 端口)

    诸位 V2EX 大神们怎么看, 有没有研究过这玩意的?

    顺便, V2 没有病毒节点?

    C5260C6FE9EFC8C40FA85444A6E3BB865465F5AF60514F91422DF4949ACF162E511305F8BB64B20F83FA1D69C0C56074FA5A34CF3B64BD0A0662E1BDB6AA3B97

    8 条回复    2017-05-14 13:25:47 +08:00
    hjc4869
        1
    hjc4869  
       2017-05-14 02:27:16 +08:00
    sandboxie 试毒,楼主好有勇气……
    acess
        2
    acess  
       2017-05-14 02:30:23 +08:00
    我觉得不是这个专业的还是别瞎折腾了……现在信息噪音已经很大了,各种谣言飞起。
    nfroot
        3
    nfroot  
       2017-05-14 03:06:10 +08:00
    不是说已经失效了么 因为注册了那个域名
    ouqihang
        4
    ouqihang  
       2017-05-14 09:41:20 +08:00
    勇士,用虚拟机还要提防有没有完全断网呢,以防在局域网散开。这撸个 sandbox 就开干。。。我相信世界顶尖杀软实验室都在研究。
    ouqihang
        5
    ouqihang  
       2017-05-14 10:51:28 +08:00   ❤️ 1
    发太多外链被禁止了,看我在这个帖子里面的地址 #11 https://www.v2ex.com/t/361158#reply11
    有人分析过了,很详细,加密哪些后缀都有,很惊奇没加密 PDF。
    0TSH60F7J2rVkg8t
        6
    0TSH60F7J2rVkg8t  
       2017-05-14 12:01:56 +08:00   ❤️ 1
    少量能解密的文件是因为软件逻辑里会随机用主密钥加密文件,其它文件用生成的动态密钥加密,所以主密钥加密的文件能解密。
    bxgty
        7
    bxgty  
       2017-05-14 12:29:47 +08:00   ❤️ 1
    http://blog.talosintelligence.com/2017/05/wannacry.html
    上面的链接有些行为和代码的分析。
    bxgty
        8
    bxgty  
       2017-05-14 13:25:47 +08:00   ❤️ 1
    突然发现绿盟也有 blog 分析了。内容上大同小异,只是这个更详细点。
    http://blog.nsfocus.net/wannacry-extortion-virus-nti-public-analysis-report/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1830 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:00 · PVG 08:00 · LAX 16:00 · JFK 19:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.