流程

綜上分析，受害者中毒后的贖回過程大致如下

首先受害者需要通過Contact us告知病毒作者自己已經(jīng)付款，這時病毒作者通過受害者發(fā)送消息時附加上傳的tor key(00000000.res前8個字節(jié))、電腦名、電腦賬戶名等信息作為key值唯一標識受害者，如果通過受害者發(fā)送的消息(如比特幣轉(zhuǎn)賬記錄等)確認該受害者付過款，會在后臺設(shè)置一個針對該受害者的開關(guān)，標識該受害者可以獲取解密key文件。

受害者等待一段時間后點擊Check Payment，這時病毒會上傳受害者的tor key、電腦名、電腦賬戶名、比特幣轉(zhuǎn)賬地址等詢問服務(wù)器該受害者是否被確認已經(jīng)付款，然后病毒會上傳受害者的一個帶有被加密過的解密key文件(00000000.eky)到服務(wù)端，服務(wù)端如果確認受害者已經(jīng)付款會把上傳上來的key文件解密，并返還給受害者(00000000.dky)，然后提示可以解密。

受害者點擊Decrypt按鈕進行解密，解密程序會讀取本地已經(jīng)從服務(wù)端獲取的受害者解密key文件，對受害者機器上被加密的文件進行解密。

問題

贖回問題的關(guān)鍵來了：

因為比特幣錢包是匿名的，而比特幣的轉(zhuǎn)賬記錄又是公開的，如果直接把比特幣轉(zhuǎn)賬給了黑客，那么只能祈禱當你聯(lián)系上他時，能夠用語言來證明那錢是你轉(zhuǎn)過去的。

如果提前聯(lián)系黑客呢？這個我們已經(jīng)嘗試好多天與黑客通過Contact us取得聯(lián)系，音信全無。

結(jié)合上述信息來看，通過支付贖回的希望是比較小的。

黑吃黑

事情還沒有結(jié)束，經(jīng)過對Wannacry病毒的發(fā)展歷程的研究，發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象，”冒牌黑客”通過修改“原版Wannacry”比特幣錢包地址，做出了“改收錢地址版Wannacry”重新進行攻擊。如其中一個“冒牌Wannacry”就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV，如圖

經(jīng)過對這個地址的監(jiān)控，發(fā)現(xiàn)已有受害者向該地址轉(zhuǎn)賬

根據(jù)以上分析，這位轉(zhuǎn)賬受害者的文件是不可能贖回了，因為他的付款對象也不知道怎么贖回受害者的文件。