WannaCry令多人中招，背後的黑客卻無法賺大錢

勒索病毒WannaCry（又名 WannaCrypt、Wanna Decryptor、WanaCrypt0r 2.0）早前入侵了全球大量電腦，令不少用戶檔案被黑客加密。有別於過往的勒索軟件，WannaCry利用早前外洩的Windows漏洞，攻擊未安裝更新的電腦，即使用戶沒有打開不安全的連結、下載檔案等一樣會中招。

把漏洞結合勒索軟件，也許是WannaCry背後黑客最聰明的舉動，但在索取贖金方面，他們（假設背後是一個團隊）遠遠不如其他「同行」，甚至業餘得令部份資訊保安人員懷疑他們不是為了求財。

人類總要重複同樣的錯誤

在WannaCry肆虐後不久，化名為MalwareTech的22歲資訊安全研究員Marcus Hutchins表示他可能意外減慢了其散播。在分析病毒的過程中，他發現病毒嘗試連上一個未註冊的網域（iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com），於是立即註冊了。

後來Hutchins才發現，病毒似乎利用這個網站來判斷是否身處虛擬環境中，如果連得上就會停止運作，以防止病毒被分析。因此在他註冊了域名後，所有電腦都能連上網站，使病毒停止運作，減慢了散播。

Hutchins提到類似的方法並非由WannaCry首創，另一個木馬程式Necurs曾經使用——但後者嘗試連上5個隨機生成的網址，如果全部都傳回同一IP地址就會停止，而WannaCry的方法則簡陋得多。

Photo Credit: Frank Augstein / AP Photo / 達志影像

在這個消息傳出後不久，黑客已經推出了WannaCry的「更新版」，可是僅僅更改了有關網址，另一資訊安全研究員Matt Suiche幾乎立即註冊了新的域名，使這個版本的WannaCry也無法傳播。

在別人知道怎樣對付WannaCry的弱點時，黑客仍然只作出基本修改，而非採用隨機域名等方法，Suiche認為這非常令人費解︰「我看不見有任何理由可以解釋為何（新版WannaCry）仍保留這個kill switch」。他更指黑客犯上同樣的錯誤兩次，看來毫不合理。

賺錢比其他勒索軟件少

不過WannaCry黑客最業餘之處，在於收贖金的設計。現時WannaCry只有3個用作收贖金的比特幣（BitCoin）地址，而且全部寫進病毒之中，由於比特幣交易其實非常公開，因此所有人都可以檢視黑客到底收到多少贖金︰

• https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
• https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
• https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

監察非法比特幣交易的Elliptic更開設了WannaCry專頁，讓大家方便看到黑客目前收到多少贖金——至今累積了近8萬2千美元︰

Image Credit: Elliptic, CC BY-ND 4.0

根據公開資料，上述3個比特幣地址總共有294筆交易，若以每人贖金300美元計算，則大概有270人交了贖金——總之就是不足300人，而以WannaCry的規模而言，回報可謂不成比例。

資訊安全公司McAfee Labs在去年9月的報告中，曾提到有勒索軟件的設計者兼分發者藉檔案勒索收到近1.21億美元贖金（按照當時的比特幣匯率計算）。一般而言，勒索軟件的黑客都可以賺到數百萬美元，按照WannaCry贖金的增長速度，相信難以到達這個數字。

收到贖金也未必能用

只使用固定的比特幣地址，會帶來兩個大問題。

首先，黑客無法確認受害者交了贖金，也就無法決定是否解鎖檔案——除非他們一開始就決定不解鎖，但勒贖軟件的「營運模式」應建基於信任，透過遵守承諾來增加受害者付贖金的誘因，以獲取更高利潤。（即使如此，交贖金仍然無法確保能解鎖檔案。）

其次，收到贖金後黑客仍然需要「銷贜」，由於比特幣交易基本上是公開透明，網上人人可追蹤，僅使用3個地址就更難「洗錢」——更何況WannaCry備受關注。

當然不是完全沒有方法，例如黑客可以使用所謂的比特幣「混合服務」，將自己的比特幣換成其他比特幣，但這要求服務供應商可靠，例如相信他們不會取去你的比特幣也不會留下記錄，而且金額越大越難不著痕跡。

黑客也可以考慮將比特幣兌換成其他更注重私隱的加密電子貨幣，然後再兌回「乾淨」的比特幣。不過由於地址已經公開，有關服務供應商或會拒絕接受，他們或要依賴分散式的服務——例如JoinMarket——來隱藏其比特幣來源。

問題源自編程錯誤

不過更重要的問題相信是︰為何他們要增加自己的麻煩？

這可能是因為編寫WannaCry的黑客犯了低級錯誤。根據資訊保安公司賽門鐵克（Symantec）的分析，WannaCry收取贖金的流程如下︰

1. WannaCry會建立一個名為「00000000.res」的檔案，包含了獨特的用戶帳號、加密檔案總數、加密檔案總容量等資訊；
2. WannaCry把「00000000.res」內的用戶數據，透過Tor網絡傳到控制中心（C&C servers）；
3. WannCry的控制中心會傳回一個新的比特幣地址，這個地址屬於特定用戶，並會儲存在檔案「c.wnry」，取代程式碼中的預設地址；
4. 當用戶按了「檢查付款」後，WannaCry會傳送「00000000.res」和用作加密檔案的密鑰「00000000.eky」到控制中心；
5. 如果付款獲得確認，控制中心就會傳回解開的密鑰；
6. WannaCry把密鑰存到「00000000.dky」，並用這個密鑰來解鎖檔案。

按照賽門鐵克的說法，WannaCry需要執行「WanaDecryptor.exe」這個程式來獲得新的比特幣地址，但這個檔案在稍後的步驟才從檔案「u.wnry」中複製出來。因為這個程序上的錯誤，導致所有受害者都只獲得程式碼內置的比特幣地址。

雖然今次WannaCry的設計犯下不少錯誤，但相信結合網絡蠕蟲和勒索軟件的手法，將成為勒索軟件的未來趨勢。

20170804更新︰WannaCry黑客疑轉移贖金，Bitcoin分家令他們多一成「花紅」

相關文章︰

• 加密勒索軟件︰鎖上你的檔案 不付贖金打不開
• 勒索病毒肆虐，微軟批情報部門「囤積」漏洞
• 加密勒索軟件再進化︰可跨平台「綁架」檔案 較難偵測更具威脅

資料來源︰

• How to Accidentally Stop a Global Cyber Attacks (MalwareTech)
• The WannaCry Ransomware Hackers Made Some Real Amateur Mistakes (Wired)
• From Kill Switch To Bitcoin, 'WannaCry' Showing Signs Of Amateur Flaws (NPR)
• Why the massive cyberattack won't make the hackers rich (CNN)
• It won't be easy for WannaCry hackers to get their cash (Mashable)
• Ransom.Wannacry Technical Details (Symantec)
• McAfee Labs Threats Report September 2016