能不能找到 Wannacry 被勒索交赎金后的亲历者证明作者是否会赖账？

好像是如果电脑默认连不上暗网的话，私钥就在这个过程中就传丢了，没有传给作者，所以你即使交了钱作者想帮你恢复数据都不可能

@ArchStacker 如果我没理解错，感染时不需要回传私钥，私钥是用作者的公钥加密后存到硬盘上的（就是 00000000.eky ）

所以说嘛,为啥用不靠谱的系统做服务器呢。还有，你们 it 也很不靠谱，都爆发一周居然没打补丁，没作备份。想不中都难。说句难听的话，活该。

病毒作者也算有心，竟然还自带 Tor...

@acess 哦，那就是我理解错了

如果资料真的很重要，没必要纠结。因为你没得选。

@acess
@ArchStacker
@pagxir
既然它通过暗网通讯，那没有连上暗网的时候，也无法给他发信息才对，所以交了钱发信息也根本发布到对方手里？

如果说没连接暗网也能和对方互发信息，那岂不是很容易就暴露自己了？

@nfroot 你是应该发信息给它们(通过暗网或者别的)，看到有回应之后，在进行下一个动作。如果没有回应那就，只能玩完了。

还不如有针对性的玩 这下全球都玩到 却还买不到一套房

大概搜了一下……还是只看到 Mikko Hypponen 的 Twitter 提到过部分付了赎金的受害者解密了文件——从另一个角度说，那就是付了赎金也可能不给解锁……
但如果文件真的重要的话，估计你只能死马当活马医……

@pagxir
@acess
再找了一圈，算是明白了，正确的流程往往都没人提（太少人提），正确的流程应当是这样的，连上 Tor,开放端口 9050，联系作者要求给一个独立的比特币钱包地址用于付款（连上了 tor 才能联系到作者）

但是国内媒体一边倒的说联系了没反应，这个结果挺让人无法接受的。反正直接打钱是不对的，要独立账号，就不会被冒领，而从各方分析病毒的程序逻辑来看，整套恢复逻辑是存在的，那么付款给东西，应该没赖账的必要。

以上是收集到并猜测的

反正你就死马当活马医呗，个人认为活不过来了，就当交学费吧

@nfroot

不管你懂不懂，我先废话几句关于加密代理的东西，懂的话直接跳过，不懂的大概看看：
首先……你不是用过 ss 么？ ss 的协议一般应用肯定不认识，所以 ss 需要监听本机的一个端口，作为一个 socks5 协议的代理服务器工作。
各种应用先以 socks5 协议（明文）跟 ss 客户端通信，ss 客户端负责把明文的 socks5 转化成加密的 ss 协议，用加密的 ss 协议和 ss 服务器通信。
Tor 的监听本机的 9050 端口也是这个作用，作为 socks4a 协议的代理服务工作。但 Tor 的情况相当于 ss 服务器被某墙封掉了。

WanaCry 自带了一个 Tor，你不需要对外开放 9050 端口，你只要让这个自带的 Tor 能工作就可以了——你需要用 VPN，或者路由上装个 ss-redir、ss+redsocks 等手段，让 Tor 翻墙出去。

@nfroot 我也瞎分析了一波，针对“收款地址只有一个”的问题：
https://www.v2ex.com/t/363090
不知道对不对。

@nfroot 如果我的一通瞎分析居然没搞错，那你只需要按照勒索者说的，提前一小时告诉勒索者你后来用来付款的钱包地址就可以了。

@acess 我是明白你说的 Tor 也在前面回复中就明白正确处理流程了，想想真够可悲的，别人想着如何不付钱解决，咱们想着如何才能付钱……

@nfroot
数据恢复手段真的没用么？

等得起的话，也许可以等着这帮家伙被逮捕，然后公开私钥……

至于找他们要新的收款地址……我有点怀疑勒索作者能不能和你聊上（也许他们只能群发消息，不能一对一聊天）。而且，勒索作者自己说的方法是提前 1 小时把用来付款的比特币地址发给他们。

@acess zip 文件废，mdf 文件废，pdf 文件废，jpg 碰运气，如果像你说的那样，不能先行沟通又变得麻烦可不可控了。

它删除文件之前会对文件是否重要做出判断，重要的话就会加密了一部分内容覆盖再删除。我用的 360 的恢复工具，有些文件恢复时被拆成 4K 的文件，所以……少数文件被拆成了几千个文件……从结果来看，基本没什么用，那些走这条路的工具软件估计效果差不多
（恢复数据最忌讳的就是删除文件还往这个盘里写入文件，然而这个病毒又是一边加密一边删除的，所以严重存在删除文件后还写入大量文件的特点）