經(jīng)過分析，WannaCry病毒提供的贖回流程可能存在一個讓受害者更加悲慘的漏洞，支付贖金的操作是一個和計算機弱綁定的操作，并不能把受害計算機的付款事實傳遞給黑客。

通俗點說，即使黑客收到了贖金，他也無法準確知道是誰付的款，該給誰解密。比特幣勒索的受害者對于支付贖金一定要慎重考慮，對于通過付款贖回被加密的文件，不要抱太大的期望。

更令人絕望的是，經(jīng)過對比特幣勒索變種持續(xù)監(jiān)控，分析人員還發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象，有其他黑客通過修改“原版Wannacry”比特幣錢包地址，做出了“改收錢地址版Wannacry”重新進行攻擊。而這一部分新的受害者支付的贖金，都進修改者的錢包，他們文件也基本不可能贖回了，因為他們“付錯對象了”。這里不免讓人思考，所謂的“爆發(fā)版Wannacry”作者是否也是通過修改別的黑客的錢包，而發(fā)起的這次攻擊呢？不得而知，如果真是這樣，也許付款的受害者只能等到海枯石爛了。

特別說明：

不得不承認此次WannaCry勒索病毒影響席卷全球，短期內(nèi)被瞬間引爆，但實際破壞性還不算大，我們的研究和輸出希望幫助大家理性了解并面對，并不希望被放大和恐慌。此次我們認為這次勒索病毒的作惡手法沒有顯著變化，只是這次與微軟漏洞結(jié)合。針對勒索病毒已經(jīng)找到了有效的防御方法，而且周一開始病毒傳播已在減弱，用戶只要掌握正確的方法就可以避免，廣大網(wǎng)友不必太驚慌，關注騰訊安全聯(lián)合實驗室和騰訊電腦管家的研究和防御方案，也呼吁行業(yè)理性應對。我們也會繼續(xù)追蹤病毒演變。

分析

病毒感染計算機后會彈出一個支付框:

病毒彈出的支付框中包括三個關鍵點

1、 Contact Us 用于聯(lián)系黑客

2、 Check Payment 用于上傳被加密的key文件，服務器返回用于解密文件的key文件

3、 Decrypt 使用Check Payment獲取的解密key文件對機器上被加密的文件進行解密

Contact US

Contact Us點擊后會彈出一個文本框，用于聯(lián)系病毒作者