@nfroot 不知道情况怎么样了？有没有解密，或者……有没有看到对方给个回话？

@Clarencep WanaKiwi 扫私钥的机会因为 LZ 随手杀毒失去了(LZ 用的大概不是 32 位系统，所以也可能本来就没有这个机会)，数据恢复他已经试过了……死马当活马医啊，没办法了。

@nfroot @Netherlands
还是再掺和一下吧……有错轻喷。
“坑新”的比特币找零机制：
http://www.8btc.com/joybtc_5
https://bitcoin.stackexchange.com/questions/9007/why-are-there-two-transaction-outputs-when-sending-to-one-address
https://www.zhihu.com/question/23535773

@nfroot
https://bitcoin.stackexchange.com/questions/18659/how-to-send-bitcoins-from-selected-address-on-blockchain-info-wallet
@Netherlands
已经有老司机指导了，我就不瞎掺和了。

柯洁输了……

@Netherlands 只是跟踪最近的交易记录的话，要处理的数据量应该不大。

@Netherlands
受害者因为思维惯性，可能只会买金额和赎金差不多的比特币，买到的比特币很可能会通过一笔交易直接转到新的比特币钱包地址里，我觉得这是个特征。所以，也许可以追踪最近的交易记录，筛选出这种看上去像是要付赎金的钱包，然后抢先把钱包地址发给勒索者。

@Netherlands
根据这则消息，WanaCry 的作者意识到自己犯了错误，后来做了修正，但影响不大。
https://twitter.com/threatintel/status/864802886471090176

@Netherlands 按我的理解，比特币的交易速度远远没有达到无法追踪的地步，我觉得也许会有特别鸡贼的受害者（或者受害者找的帮手）会用这种猥琐的思路找看上去像是准备要付款的钱包（一查交易记录，哇，只有一笔，还跟赎金差不多），然后拿找到的钱包地址去骗勒索者。勒索者会怎么处理就不得而知了。反正他直接跑路也是暂时没办法的……

@Netherlands 我只是担心有人盯着最近的交易记录，看到像是要付赎金的，就赶紧拿去发给勒索者。如果在付款之前想办法隐瞒后来的付款地址，那应该就可以避免这个问题。
另外，用虚拟机又试了一下，我的样本在翻墙的环境下仍然给出了 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 这个地址。

@nfroot @Netherlands
我再拿虚拟机试试吧……反正勒索作者确实对受害者广播过“请在付款一小时之前告诉我你用来付款的钱包地址”的消息，个人觉得这样也是可行的。

如果要支付赎金，我觉得应该这样：购买比特币，最好分散到 A B C 等多个地址里，防止有思路猥琐的中招者通过最近交易记录和余额猜出可能会在最近支付赎金的钱包地址抢先发给勒索者。
然后，新生成一个钱包地址 X，点 Contact us 告诉作者自己的钱包地址 X，等大概 1 个小时，把 A B C 等几个地址里的比特币汇到 X 里，再用 X 付款。
不知道这么做有没有问题……

@Netherlands 2 3 可能也是我想多了，现在流传的“社工破解”好像都是把 txid 发过去，可能已经有很多人这么干了，但未必有人想到去盯着比特币交易记录，然后把最可能付赎金的钱包地址提前发给勒索者。

@Netherlands 猜测 1 可能不成立，也许作者可以一对一回应消息，可能需要手动受害者点一下 Check Payment 吧。

@Netherlands 我不太熟悉比特币，拍脑袋想到的问题:
1.病毒作者也许只能群发消息，不能一对一聊天……然后他可能很难再为受害者分配一个唯一的收款地址
2.找人代付，用猥琐的思路考虑的话，可能会有其他受害者提前把代付用的比特币地址发过去骗勒索者解锁。
3.自己新生成一个地址，里面还没有比特币，如果对它转账，数额和赎金类似的话，也可能被其他受害者把钱包地址发过去骗勒索者解锁。

LZ 的时间不多了，但愿我没添额外的麻烦。

http://www.freebuf.com/articles/system/135196.html
不过文章中是先付款后发消息告知比特币地址，和勒索作者群发的消息不一样，按照群发的消息，应该是付款前 1 小时把地址发过去。

@nfroot 说实话……我也不太了解比特币。
https://bitcoin.org/zh_CN/getting-started
你可以看看这个。
交易有延迟，十几分钟。
另外，无论用新生成的地址，还是找人代付，都有风险，谨慎。

@imcoddy 如果有很多受害者都找某个人代付，然后都用一个地址付款，也是有“小票被抢走”的风险的：可能有受害者不管三七二十一，直接把最常给勒索者付款的那几个地址发给勒索者，赌过一段时间后会有人付款。

@imcoddy 新地址不是没币，需要先转进去么……所以，我刚刚担心的，和知乎上那个方法还是有点不一样的吧？知乎上的方法不是盯着勒索者的钱包么，我的意思是其他受害者可能会盯上所有钱包，看到像是准备要付款的地址就赶紧抢过来用。

@nfroot 我说得太啰嗦……其实很简单，如果勒索者还有信用，那只要提前通知他们自己会用哪个地址付款就够了。
另外……说实话，感觉 360 的工具看上去并没有他们吹得那么神，可能还不如 DiskGenius 等老牌的其他工具。