WannaCry令多人中招,背後的黑客卻無法賺大錢

WannaCry令多人中招,背後的黑客卻無法賺大錢
Photo Credit: Mark Schiefelbein / AP Photo / 達志影像
我們想讓你知道的是

WannaCry全球肆虐,但程式設計問題使背後的黑客收不到太多贖金,而且收到的比特幣也難以使用。

唸給你聽
powered by Cyberon

勒索病毒WannaCry(又名 WannaCrypt、Wanna Decryptor、WanaCrypt0r 2.0)早前入侵了全球大量電腦,令不少用戶檔案被黑客加密。有別於過往的勒索軟件,WannaCry利用早前外洩的Windows漏洞,攻擊未安裝更新的電腦,即使用戶沒有打開不安全的連結、下載檔案等一樣會中招。

把漏洞結合勒索軟件,也許是WannaCry背後黑客最聰明的舉動,但在索取贖金方面,他們(假設背後是一個團隊)遠遠不如其他「同行」,甚至業餘得令部份資訊保安人員懷疑他們不是為了求財。

人類總要重複同樣的錯誤

在WannaCry肆虐後不久,化名為MalwareTech的22歲資訊安全研究員Marcus Hutchins表示他可能意外減慢了其散播。在分析病毒的過程中,他發現病毒嘗試連上一個未註冊的網域(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com),於是立即註冊了。

後來Hutchins才發現,病毒似乎利用這個網站來判斷是否身處虛擬環境中,如果連得上就會停止運作,以防止病毒被分析。因此在他註冊了域名後,所有電腦都能連上網站,使病毒停止運作,減慢了散播。

Hutchins提到類似的方法並非由WannaCry首創,另一個木馬程式Necurs曾經使用——但後者嘗試連上5個隨機生成的網址,如果全部都傳回同一IP地址就會停止,而WannaCry的方法則簡陋得多。

AP_17135781773450
Photo Credit: Frank Augstein / AP Photo / 達志影像
Marcus Hutchins

在這個消息傳出後不久,黑客已經推出了WannaCry的「更新版」,可是僅僅更改了有關網址,另一資訊安全研究員Matt Suiche幾乎立即註冊了新的域名,使這個版本的WannaCry也無法傳播。

在別人知道怎樣對付WannaCry的弱點時,黑客仍然只作出基本修改,而非採用隨機域名等方法,Suiche認為這非常令人費解︰「我看不見有任何理由可以解釋為何(新版WannaCry)仍保留這個kill switch」。他更指黑客犯上同樣的錯誤兩次,看來毫不合理。

賺錢比其他勒索軟件少

不過WannaCry黑客最業餘之處,在於收贖金的設計。現時WannaCry只有3個用作收贖金的比特幣(BitCoin)地址,而且全部寫進病毒之中,由於比特幣交易其實非常公開,因此所有人都可以檢視黑客到底收到多少贖金︰

監察非法比特幣交易的Elliptic更開設了WannaCry專頁,讓大家方便看到黑客目前收到多少贖金——至今累積了近8萬2千美元︰

chart
Image Credit: Elliptic, CC BY-ND 4.0

根據公開資料,上述3個比特幣地址總共有294筆交易,若以每人贖金300美元計算,則大概有270人交了贖金——總之就是不足300人,而以WannaCry的規模而言,回報可謂不成比例。

資訊安全公司McAfee Labs在去年9月的報告中,曾提到有勒索軟件的設計者兼分發者藉檔案勒索收到近1.21億美元贖金(按照當時的比特幣匯率計算)。一般而言,勒索軟件的黑客都可以賺到數百萬美元,按照WannaCry贖金的增長速度,相信難以到達這個數字。

收到贖金也未必能用

只使用固定的比特幣地址,會帶來兩個大問題。

首先,黑客無法確認受害者交了贖金,也就無法決定是否解鎖檔案——除非他們一開始就決定不解鎖,但勒贖軟件的「營運模式」應建基於信任,透過遵守承諾來增加受害者付贖金的誘因,以獲取更高利潤。(即使如此,交贖金仍然無法確保能解鎖檔案。)

其次,收到贖金後黑客仍然需要「銷贜」,由於比特幣交易基本上是公開透明,網上人人可追蹤,僅使用3個地址就更難「洗錢」——更何況WannaCry備受關注。

當然不是完全沒有方法,例如黑客可以使用所謂的比特幣「混合服務」,將自己的比特幣換成其他比特幣,但這要求服務供應商可靠,例如相信他們不會取去你的比特幣也不會留下記錄,而且金額越大越難不著痕跡。

黑客也可以考慮將比特幣兌換成其他更注重私隱的加密電子貨幣,然後再兌回「乾淨」的比特幣。不過由於地址已經公開,有關服務供應商或會拒絕接受,他們或要依賴分散式的服務——例如JoinMarket——來隱藏其比特幣來源。

問題源自編程錯誤

不過更重要的問題相信是︰為何他們要增加自己的麻煩?

這可能是因為編寫WannaCry的黑客犯了低級錯誤。根據資訊保安公司賽門鐵克(Symantec)的分析,WannaCry收取贖金的流程如下︰

  1. WannaCry會建立一個名為「00000000.res」的檔案,包含了獨特的用戶帳號、加密檔案總數、加密檔案總容量等資訊;
  2. WannaCry把「00000000.res」內的用戶數據,透過Tor網絡傳到控制中心(C&C servers);
  3. WannCry的控制中心會傳回一個新的比特幣地址,這個地址屬於特定用戶,並會儲存在檔案「c.wnry」,取代程式碼中的預設地址;
  4. 當用戶按了「檢查付款」後,WannaCry會傳送「00000000.res」和用作加密檔案的密鑰「00000000.eky」到控制中心;
  5. 如果付款獲得確認,控制中心就會傳回解開的密鑰;
  6. WannaCry把密鑰存到「00000000.dky」,並用這個密鑰來解鎖檔案。

按照賽門鐵克的說法,WannaCry需要執行「WanaDecryptor.exe」這個程式來獲得新的比特幣地址,但這個檔案在稍後的步驟才從檔案「u.wnry」中複製出來。因為這個程序上的錯誤,導致所有受害者都只獲得程式碼內置的比特幣地址。

雖然今次WannaCry的設計犯下不少錯誤,但相信結合網絡蠕蟲和勒索軟件的手法,將成為勒索軟件的未來趨勢。

20170804更新WannaCry黑客疑轉移贖金,Bitcoin分家令他們多一成「花紅」

相關文章︰

資料來源︰