可以連通則發(fā)送了一段數(shù)據(jù)，如下圖

關(guān)鍵信息有以下幾部分

1、 00000000.res文件的前8個字節(jié)，和send信息一致(紅色框內(nèi))

2、 計算機名和計算機賬戶名，和send信息一致(橙色框內(nèi))

3、 比特幣轉(zhuǎn)賬地址(綠色框內(nèi))

4、 需轉(zhuǎn)賬金額(金色框內(nèi))：$600

5、 被加密過的key文件(00000000.eky)的內(nèi)容

服務(wù)器會根據(jù)內(nèi)容中發(fā)送的res前8個字節(jié)、計算機名和計算機賬戶名等信息確認(rèn)受害者是否已經(jīng)付過款，如果沒有付款服務(wù)器返回失敗，病毒提示如下信息

告知受害者沒有付款或者病毒作者沒有確認(rèn)，最佳的確認(rèn)時間是GMT時間上午9點到上午11點。

如果確認(rèn)已經(jīng)付款就會把00000000.eky文件進行解密并返回，病毒接收到服務(wù)器的返回會在受害計算機上生成用于解密文件的key文件00000000.dky，該文件會在Decrypt流程中使用到。

Decrypt

點擊Decrypt后會開啟解密流程，解密就是讀取從服務(wù)器上獲取的解密key文件00000000.dky作為密鑰，遍歷計算機上被加密的文件，進行解密，如下圖