WannaCry勒索病毒中的愚蠢Bug,赎金打水漂可能正是该漏洞所致

自从5月12日开始,WannaCry勒索病毒在全球范围内的大规模爆发,成为近年来勒索软件冲击全球信息安全事件中影响最大的一次。谷歌和赛门铁克表示,早期的WannaCry版本似乎与朝鲜黑客组织Lazarus有关,但在变种出现后事件又变得扑朔迷离起来。实际上,安全研究员在恶意软件的程序编码中,发现了一些“愚蠢”的错误。也有相关的研究者认为这样的错误并非是专业黑客所为,每一个小错误都暴露了攻击发动者的技术水平其实真的不怎么样。

作者 | Elaine

“糟糕的”赎金功能:犯罪分子可能并不知道你有没有支付赎金

不要支付赎金!但事发之后每小时还是有受害者去支付赎金给犯罪分子

WannaCry勒索软件在将受害者电脑上的文件加密之后,要求受害者支付等价于300美元的比特币赎金,只有支付了赎金才能予以恢复。而近日,Symantec安全响应中心发布推特称:

WannaCry具备给每个用户分配唯一的比特币地址的代码,但出现了竞争条件漏洞问题(硬编码的比特币地址)。

在恶意软件中,犯罪分子只是将三个比特币钱包地址硬编码在了程序中,用以接受支付的赎金,但并没有任何验证支付状态并进行解密的程序。也就是说,犯罪分子需要手动地从接收比特币赎金的账户中验证用户的身份信息,自己找到需要恢复的计算机然后进行解密。由于受害者的计算机数量已超过数十万,期望犯罪分子能够遵守约定,依靠手动识别受害者是否支付赎金,然后进行恢复操作的可能性已经是很低的了。

由此,安全专家警告急需恢复加密文件的用户称:

请不要支付赎金!即便支付了比特币赎金,也不能保证你的文件能够顺利解密。

在初始版本出现的13小时之后,WannaCry的变种版本修复了比特币漏洞,但绝大多数的感染均为原始版本。

“硬编码”的比特币地址:兑换成法定货币则可能暴露

“硬编码”的比特币地址:兑换成法定货币则可能暴露

其次,除了没有编写识别检测用户是否支付赎金的代码,将比特币钱包地址硬编码在程序中的做法还会导致这些赎金容易遭到后续追踪。

比特币系统运转在区块链上,这种分布式的公有账本上的每笔交易都会被记录下来。也就是说在比特币流通的公共会计总账上,将比特币兑换和转移的操作都是公开可见的。

三个比特币地址: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Elliptic公司Tom Robinson之前在接受英国卫报采访时曾说:

我们现在还无法追踪他们,因为勒索者现在还没有转移任何资金。

但这也意味着如果犯罪分子转移钱包中的货币,或进行支付的时候,我们是能够进行密切的监控的。这次的恶意程序中将比特币钱包地址暴露在众目睽睽之中,安全部门、政府等各类人员都会关注这三个比特币钱包的动向吧。而如果黑客需要将所获取的赎金进行提现就需要在比特币交易所进行实名身份验证,否则只能通过黑市交易。也有比特币专家认为此次事件的犯罪分子并不太了解比特币的运作机制的,而只是盲目相信其匿名性。

bitinfocharts网站上展示的钱包交易监控图

截止5月18日下午一点,目前在犯罪分子的三个比特币账户上,但从本次勒索软件事件中就已经收到超过287笔交易,总计超过80,563.92 美元的赎金。让我们继续保持对这件事情的关注吧!

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-05-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

关于最新Petya勒索病毒变种,热点问题都在这里

北京时间2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒最新变种袭击,政府、银行、电力系统、通讯系统、企业以及...

34660
来自专栏黑白安全

CoinHive 挖矿劫持仍在肆虐 至少 28 万路由器被检出感染

最近几年,区块链领域闹出了许多幺蛾子。比如为了攫取不当的加密货币挖矿收益,某些人制作了能够窃取设备算力的恶意软件,有几个挖矿网络的受害者规模甚至相当庞大。就在过...

13840
来自专栏域名资讯

“瑞波币”全套三拼域名被同买家收入囊中

最近一段时刻,有关区块链的论题开端进入群众的视界。区块链技能被认为是继蒸汽机、电力、互联网之后,下一代颠覆性的中心技能。未来对买房卖房的房产职业也会...

26490
来自专栏安恒信息

马航MH370遭黑客盗用,2万网友遇袭

马航MH370客机失联已近两个星期,就在人们牵挂失联航班最新进展的时候,社交网络上却有不法分子利用马航事件发起盗号攻击。根据多家网络安全厂商监 测,病...

27990
来自专栏Petrichor的专栏

如何自己组装电脑(从配件到整机)来省下一大笔钱

  因为 组装机和成品机有着一样的性能,却可以省下三分之一的高昂费用 。打个比方,一台组装好的成品主机售价6K,那么它的实际组装成本只要4K。如果选择自己组装,...

1.3K20
来自专栏企鹅号快讯

比特币挖矿木马疯狂敛财 有僵尸网络获利超300万

原标题:比特币走高 致“挖矿”木马疯狂敛财 一个僵尸网络获利超300万人民币 段郴群 网络安全提醒 广州日报讯 (全媒体记者 段郴群)用户电脑突然出现计卡顿或者...

22250
来自专栏域名资讯

10万美元买下域名mommy.com

mommy.com注册于1997年,对应英文单词“Mommy”,其含义为“妈妈、妈咪”,一般作为儿语。Mommy.com适合搭建母婴、餐饮、早...

6800
来自专栏域名资讯

“妈妈”域名Mommy.com被搭建成母婴相关购物网站

在2017年11月的时候,有“妈妈”含义的域名Mommy.com以10万美元,约66万元人民币的价格交易,并且荣登当时DN、Sedo榜首位。

21880
来自专栏小文博客

连连支付停止PayPal 快捷人民币提现服务的重要通知

1.8K40
来自专栏云鼎实验室的专栏

事件分析 | 门罗币挖矿新家族「罗生门」

腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样...

19610

扫码关注云+社区

领取腾讯云代金券