文章看都看完了，順便翻譯一下。 以下是這病毒會做的事。 ---- 1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。 2. 送出HTTP請求給特定網域名，確認是否傳播。 3. mssecsvc2.0 服務被創建，這個服務會再次執行 mssecsvc.exe 3.1 這次執行會透過 TCP PORT 445 去嘗試連結子網路(subnet)所有的IP 3.2 連結成功便會開始傳送資料。（這邊可能是感染其他被連結的電腦） 4. tasksche.exe 開始找所有儲存裝置，包含網路資料夾、USB、隨身硬碟 5. 找硬碟裡副檔名符合以下列表的檔案，並以 2048-bit RSA 加密 常見文件檔 (.ppt, .doc, .docx, .xlsx, .sxi) 罕見文件檔 (.sxw, .odt, .hwp) 壓縮檔、影音檔 (.zip, .rar, .tar, .bz2, .mp4, .mkv) 電子郵件相關 (.eml, .msg, .ost, .pst, .edb) 資料庫相關 (.sql, .accdb, .mdb, .dbf, .odb, .myd) 程式碼相關 (.php, .java, .cpp, .pas, .asm) 加解密鑰匙與認證 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes) 設計、圖片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd) 虛擬機器相關 (.vmx, .vmdk, .vdi) 6. 新增一個資料夾"Tor"，裡面有 tor.exe 、 9 個 dll 檔、taskdl.exe 、taskse.exe 7. taskse.exe 開啟 @[email protected] 跳出勒索訊息給你看 taskdl.exe 刪除暫存檔 tasksche.exe 尋找符合格式的檔案並加密 8. 當你想付款的時候就會啟動 Tor.exe (Tor本身無害，他只是被用來創造全匿名的連線，跟他最有關係的是暗網) 9. 用以下三個 windows 指令刪除你的 shadow copy (windows備份和系統還原) http://imgur.com/S3l9KHE 10. 病毒會用以下兩個 windows 指令去用你的隱藏檔和變更檔案存取權限 attrib +h [[Drive:][Path] FileName] [/s[/d]] icacls . /grant Everyone:F /T /C /Q 差不多就做這些事.. 2048-bit RSA 沒有 key 要解密幾乎不可能。 若有錯誤麻煩指正，感謝。 ---- 以上來源 http://blog.talosintelligence.com/2017/05/wannacry.html https://securelist.com/blog/incidents/78351 https://technet.microsoft.com/en-us/library/bb490868.aspx -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494661828.A.69B.html https://news.ycombinator.com/item?id=14328924 早上看 hacker news 討論看到這篇是滿有道理的。 大意是說這是比生意，如果一個付錢沒解的話，那其他人也不會跟著付，因為會一起感染 的大多在同一個空間。另外你很有可能不只一台電腦受感染。 另外有滿多會提供試解服務.. 就是幫你解一兩個檔案讓你信他可以解。 或許.. 有版友真的付了可以上來跟大家說吧.. 2048-bit RSA 是絕對可以解，前提是你有那一對 key, 我們在上網的 https 很多時 候就是用這種演算法的。 ※ 編輯: ChoDino (117.56.162.73), 05/13/2017 16:12:11