大陆被感染的电脑是可以不受限访问 tor 网络的
根据目前已知的被感染的情况来判断,教育网、公安系统网络应该是没墙的。中石油可能也没墙(黑人问号脸.jpg )。也可能有宿主开着 VPN 的情况。只是开着 socks 代理是不行的,wannacry 没有自动找前置代理的行为。当然,ISP 封堵端口,和清华主动封堵端口一样,导致没有证据判断一些个人用户和组织的网络情况
推断也许对一些人来说是常识,不过通过此次事件侧面印证了一下。不知依据是否有误,推断是否合理?
1
bilok 2017-05-14 11:32:42 +08:00 1
GA 网跟教育网不一样,是物理隔绝的,只在互联网与内网有交换机,
你想象一下一大群 XP 电脑接入互联网 还不受 GFW 影响是什么感觉 感觉病毒应该是有降级策略 看到许多中东国家也有感染的情况,说明应该在无法连接 tor 的情况有备选方案? |
2
geelaw 2017-05-14 11:34:06 +08:00
但是我觉得没有理由要在本地加密密钥吧……
一个说法(出自微博 萌娘百科更新姬,但是该微博已经删除)是病毒会把密钥通过 tor 传输给服务器,但是因为被墙了,所以加密完成后就会导致密钥永远丢了? |
3
deeporist 2017-05-14 11:45:15 +08:00
依据 4 就错了吧 什么叫封锁 tor ?只是尽可能多的对大陆屏蔽了 tor 的网桥节点 病毒作者自己开一个新的 ip 做网桥应该也是可以的吧(题外话:现在我猜 gfw 根本不想再去破解加密协议了 高级协议它破不开的干脆直接全掐掉 所以现在除了加密还需要混淆伪装成"良民"流量) 再说了感染路径没必要一定从 tor 出来吧 把病毒从公网上散出去 收钱的时候再要求你走 tor 也是可以的吧
|
4
muziki 2017-05-14 11:48:40 +08:00
运营商提前把端口封了啊,跟 gfw 咋扯上关系的
|
5
techyan 2017-05-14 11:59:38 +08:00 via Android
前提是 Tor 被封了。
然而并没有。仍然有依赖于 AWS 和 Azure 等长城不敢封的云服务弄出来的 meek 网桥可直接连接。 |
6
121121121 2017-05-14 12:03:16 +08:00
smb 协议漏洞,一般单位没有那么大的局域网
|
7
idler OP |
8
idler OP @techyan 应该是没有用 meek
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi 2) The transport used on all Tor nodes is not obfuscated and is not using modern Tor meek and Obfs4. This means traffic is relatively easy to distinguish in corporate environment, you don't even need a DPI to do that. |
9
geelaw 2017-05-14 12:06:55 +08:00
@idler
并不是“主动销毁”吧,我觉得只是“忘记”了?譬如密钥用完之后你一重启,那就跪了?既然黑客放出毒株的时候还留了那个“滚键盘域名”的后门,我觉得黑客搞传输密钥的逻辑可能没有特别小心,不小心弄丢密钥也是可能的。 |
10
codehz 2017-05-14 12:12:40 +08:00
公钥加密,私钥解密。。。非对称加密并不需要专门弄到啥。。。公钥直接放病毒里面就可以了。。。tor 估计是用来远程控制的。。。
|
11
anyele 2017-05-14 12:16:27 +08:00
国家防火墙是用来禁止屁民看反动信息的
|
12
idler OP @codehz 咱们可能对其工作原理有不同理解。公钥不需要单独生成么?如果加密密钥的公钥都是同一个,那只要一个人支付赎金后分享密钥别人就都可以解密了不是嘛。。。我理解的是,tor 确实是用于远程控制的,用来连接 command & control 服务器获取针对特定宿主公钥,不负责传播病毒
|
13
CYKun 2017-05-14 14:39:18 +08:00 via Android
应该是在被感染机器本地生成加密密钥和解密密钥,然后用病毒中保存的病毒作者的公钥对解密密钥进行加密后上传给病毒作者。
|
14
acess 2017-05-14 23:01:02 +08:00 1
@geelaw 360 已经出分析了:
http://bobao.360.cn/learning/detail/3853.html 真是丧病,每一台受害机器都用新生成的 RSA 密钥对,而且每一个文件都用新生成的 AES 密钥,如果做得点水不漏,就算 dump 内存都只能解救一个文件。 |
15
acess 2017-05-14 23:22:58 +08:00
根据这篇分析,病毒开始加密时并不需要回传密钥,只有在检查赎金是否支付时才需要连上 Tor,然后透过 Tor 检查是否已经支付赎金、上传加密过的 RSA 私钥。
|
16
acess 2017-05-14 23:26:18 +08:00
360 已经出了一个“ 360 勒索蠕虫病毒文件恢复工具”。好像是个反删除工具,利用了勒索者忘记擦除未加密文件的疏漏。
|