不知这么推断合理不？从 WannaCry 大陆感染情况侧写国家防火墙的作用对象

This topic created in 3294 days ago, the information mentioned may be changed or developed.

依据：

目前流行的勒索软件几乎都要通过 tor 来隐匿 C2 服务器的信息
勒索软件需要连接 C2 服务器生成密钥对来加密本地的密钥，展示勒索信息，从而实现勒索。如果没有服务器上的公钥加密，受害者只要找到本地未加密密钥就可以解密了
目前没发现 wannacry 有 DNS tunneling 行为
大陆封锁了 tor
大陆仍然有被感染的情况

推断 1：

大陆被感染的电脑是可以不受限访问 tor 网络的

推断 2：

根据目前已知的被感染的情况来判断，教育网、公安系统网络应该是没墙的。中石油可能也没墙（黑人问号脸.jpg ）。也可能有宿主开着 VPN 的情况。只是开着 socks 代理是不行的，wannacry 没有自动找前置代理的行为。当然，ISP 封堵端口，和清华主动封堵端口一样，导致没有证据判断一些个人用户和组织的网络情况

推断也许对一些人来说是常识，不过通过此次事件侧面印证了一下。不知依据是否有误，推断是否合理？

推断

勒索

wannacry

Tor

16 replies • 2017-05-14 23:26:18 +08:00

bilok

May 14, 2017

GA 网跟教育网不一样，是物理隔绝的，只在互联网与内网有交换机，
你想象一下一大群 XP 电脑接入互联网还不受 GFW 影响是什么感觉

感觉病毒应该是有降级策略
看到许多中东国家也有感染的情况，说明应该在无法连接 tor 的情况有备选方案？

geelaw

May 14, 2017

但是我觉得没有理由要在本地加密密钥吧……

一个说法（出自微博萌娘百科更新姬，但是该微博已经删除）是病毒会把密钥通过 tor 传输给服务器，但是因为被墙了，所以加密完成后就会导致密钥永远丢了？

deeporist

May 14, 2017

依据 4 就错了吧什么叫封锁 tor ？只是尽可能多的对大陆屏蔽了 tor 的网桥节点病毒作者自己开一个新的 ip 做网桥应该也是可以的吧(题外话:现在我猜 gfw 根本不想再去破解加密协议了高级协议它破不开的干脆直接全掐掉所以现在除了加密还需要混淆伪装成"良民"流量) 再说了感染路径没必要一定从 tor 出来吧把病毒从公网上散出去收钱的时候再要求你走 tor 也是可以的吧

muziki

May 14, 2017

运营商提前把端口封了啊，跟 gfw 咋扯上关系的

techyan

May 14, 2017 via Android

前提是 Tor 被封了。

然而并没有。仍然有依赖于 AWS 和 Azure 等长城不敢封的云服务弄出来的 meek 网桥可直接连接。

121121121

May 14, 2017

smb 协议漏洞，一般单位没有那么大的局域网

idler

May 14, 2017

@bilok 哦是这样。如果没用 tor 的话或许有机会找到 C2 主机？

@geelaw 更新姬是说病毒把文件加密后没有从服务器获得任何信息就会主动销毁密钥么？我不清楚病毒是否有这个行为，我不过我觉得从经济角度上看这样做不利于受害者支付赎金，如同电话打不通就强行撕票。

@deeporist 如果是病毒作者新架的网桥，那差不多等于暴露自己踪迹了吧。另外不用 meek 的话流量很容易识别，新网桥被墙也很快。只是跟 C2 服务器通信的时候走 tor，感染主要利用 SMB 的漏洞吧。

idler

May 14, 2017

@techyan 应该是没有用 meek

https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi

2) The transport used on all Tor nodes is not obfuscated and is not using modern Tor meek and Obfs4. This means traffic is relatively easy to distinguish in corporate environment, you don't even need a DPI to do that.

geelaw

May 14, 2017

@idler

并不是“主动销毁”吧，我觉得只是“忘记”了？譬如密钥用完之后你一重启，那就跪了？既然黑客放出毒株的时候还留了那个“滚键盘域名”的后门，我觉得黑客搞传输密钥的逻辑可能没有特别小心，不小心弄丢密钥也是可能的。

codehz

May 14, 2017

公钥加密，私钥解密。。。非对称加密并不需要专门弄到啥。。。公钥直接放病毒里面就可以了。。。tor 估计是用来远程控制的。。。

anyele

May 14, 2017

国家防火墙是用来禁止屁民看反动信息的

idler

May 14, 2017

@codehz 咱们可能对其工作原理有不同理解。公钥不需要单独生成么？如果加密密钥的公钥都是同一个，那只要一个人支付赎金后分享密钥别人就都可以解密了不是嘛。。。我理解的是，tor 确实是用于远程控制的，用来连接 command & control 服务器获取针对特定宿主公钥，不负责传播病毒

CYKun

May 14, 2017 via Android

应该是在被感染机器本地生成加密密钥和解密密钥，然后用病毒中保存的病毒作者的公钥对解密密钥进行加密后上传给病毒作者。

acess

May 14, 2017

@geelaw 360 已经出分析了：
http://bobao.360.cn/learning/detail/3853.html
真是丧病，每一台受害机器都用新生成的 RSA 密钥对，而且每一个文件都用新生成的 AES 密钥，如果做得点水不漏，就算 dump 内存都只能解救一个文件。

acess

May 14, 2017

根据这篇分析，病毒开始加密时并不需要回传密钥，只有在检查赎金是否支付时才需要连上 Tor，然后透过 Tor 检查是否已经支付赎金、上传加密过的 RSA 私钥。

acess

May 14, 2017

360 已经出了一个“ 360 勒索蠕虫病毒文件恢复工具”。好像是个反删除工具，利用了勒索者忘记擦除未加密文件的疏漏。