簡介

WannaCry(或稱WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor)是一種利用NSA的「永恆之藍」(EternalBlue)漏洞利用程式透過網際網路對全球執行Windows作業系統的電腦進行攻擊的加密性勒索軟體蠕蟲(Encrypting Ransomware Worm)。該病毒利用AES-128和RSA演算法加密,使用Tor進行通訊。

病毒功能和影響

簡而言之,程式在載入完成後會呼叫Windows的CryptoAPI,新生成一對2048位元的RSA金鑰。金鑰對包括私鑰和公鑰,它們會被儲存至被感染電腦;但解密時需要的私鑰在儲存前會使用程式內建的另一RSA公鑰加密,該公鑰對應的私鑰由攻擊者持有。

隨後程式會遍歷儲存裝置(部分系統資料夾等除外),加密特定副檔名的檔案;程式在加密檔案時使用AES演算法,會為每一個檔案隨機生成一個128位元AES金鑰,金鑰隨後會被程式載入完後生成的RSA公鑰加密,並在當前檔案加密完後儲存在該檔案的頭部。程式還會呼叫命令提示符刪除裝置上的卷影副本(Shadow copy)備份,這一操作可能會引起UAC彈框而被用戶注意到。如果用戶此時拒絕UAC請求,則清除病毒後仍可能透過Windows備份功能回覆部分檔案。

加密過程結束後,病毒會把系統桌布替換成英語告示,並顯示一封提供28種語言版本的勒索信,其中部分可能使用了機器翻譯。程式要求用戶支付與300至600美元等值的比特幣,並在勒索信中給予被感染者3天期限,如若超過贖金會翻倍,超過一週仍未付款則會「撕票」。在勒索信中,病毒還聲稱今後可能舉行免費恢復活動,對象是運氣好且「半年以上沒錢付款的窮人」。

攻擊者在程式中寫死了至少3個比特幣位址(或稱「錢包」),以接收受害者的贖金,這些錢包的真實擁有者身份不明,但交易情況和餘額是公開的。

交易金額

定價策略

至5/16為止,共得到約200萬新台幣。以一台電腦300鎂來說,大概只有226人付錢,付款比例約為0.1%

取高價的意思即想從「覺得資料很重要」的那些人身上拿錢,不過有幾個問題

  1. 覺得資料很重要的人更注意資料安全,包含防毒、更新、備份等方式
  2. 覺得資料值300鎂的人應該不多(不含企業,企業的安全水準通常較高)
    1. 所以大多數人願意接受損失,直接重灌,或是等待破解方法
      1. 因為使用難以破解的加密方式,等待破解不太可能,除非兇手被抓

如何賺更多錢?

差別取價

  • 同樣的商品以不同的價格出售
  • 條件
    • 能分辨不同喜好程度的消費者
    • 消費者難以轉售套利
    • 有某種程度的獨占力
  • Example
    • 原文書(美國版和國際版)
    • 遊戲(發行愈久,愈便宜)
      • steam也有做地區差別取價,如中國的價格比較便宜
  • 完全的差別取價可以使市場的所有剩餘都是生產者的
    • 也就是收消費者願意付的最高價格(再高消費者不願購買)

依地區差別取價

  • 中毒分布
    • 俄國:以分布來看,至少有七成(15萬台以上電腦)中毒
      • 若收取300NTD作為贖金,設10%人願意付款 → 4,500,000NTD
        • 重灌會喪失近期資料,且麻煩又花時間,10%的推測應屬合理
        • 300NTD比一年的防毒軟體還便宜,真的是佛心價
      • 可以提高一些價格,如1000NTD,設5%人願意付款 → 7,500,000NTD

要比較少錢,是否會減慢被研究、破解的速度?

  • 應不會差太多,主要是因為影響太大
  • 畢竟防毒公司不是好惹的,只是自願研究者會少一些

依檔案重要性差別取價

  • 需要知道檔案是什麼

其他策略

拿取重要的資料來勒索

  • 需要知道檔案是什麼
  • 需要存放空間

參考其他勒索病毒的方式

銷售手段

  • 隨機對某些受害者半價優惠
    • 限時優惠
  • 若有受害者A願意付一定值的錢(如半價),就可解鎖
    • 若不接受,A的一毛錢都拿不到
    • 但是會使願意付全額的人的產生預期心理
    • 所以最好在不公開的情況下執行此交易
  • 轉蛋
  • 老鼠會
    • 使三個朋友中毒,自己就可以解毒!

參考資料