恶意软件实验室：警告！勒索软件来袭！

我觉得这种病毒有个漏洞的……就是它既然在服务器上放了私钥然后电脑上用公钥加密文件……那么私钥如果是在电脑上产生的，传到服务器时就有可能被截获（我不认为他们的服务器有SSL，但是有可能只能通过tor访问; 即使有SSL，如果是服务器自签名的证书或者病毒内部自带对服务器的证书的认证，还是能改掉）。如果是服务器上产生私钥然后公钥下发，那么我们可以用中间人攻击骗骗病毒。不过这些都必须是加密之前搞定的事情。不过也可以骗骗服务器的运行者。

不过天朝用tor那么容易么……

@NeoAtlantis 私钥何必在你机器生成？每个人的私钥必不同，这还真无解

@20150517 是的，好的设计是不应该在我的机器上生成。但是这样公钥的推导就必然是在服务器上，传给我也是通过网络。但是，传给病毒的公钥如果不是服务器发的呢？

@NeoAtlantis 你说的没错，在感染前知道要感染者和病毒了并做好mitm准备确实可以伪造公钥。可是谁知道自己会感染这个病毒？

@NeoAtlantis 其实他用的根本不是不对称加密，他直接就是一个aes加密，你发现的时候密码早就已经传出去了，而且是随机的，说什么中间人什么，一点意义也没有

@NeoAtlantis 而且如果知道你要被感染了，第一反应应该是马上切断网络吧

我的重要文件本身就是自动备份到 Dropbox 的，还有文件历史功能，云办公还是挺好的～

@NeoAtlantis 这些的确只是理论上的，如果没有事先准备，是不可能做这么多事情的。所以还是要警惕，这种病毒如果真加密了重要文件，就算能解密，中间耽误的时间也足以让你欲哭无泪。

难道可以绕过 UAC？否则申请管理员权限时就感到不对劲了啊

@sincway 据我所知（至少国内）很多人根本就直接关了UAC，不用绕过，他们看见弹窗就烦，或者直接点是，不过这病毒已经在外国传播了一阵子，想必作者应该是绕过的。

@20150517 据我之前的了解，有用到不对称加密。AES反正是肯定要用的。

@tnx2014 病毒没有Linux版本对我来说就没问题。所以我说的是在虚拟机里调教病毒和病毒作者的想法。

@tnx2014 任何东西都有漏洞，所以才有对抗，就看你愿不愿意花精力去弄了。密码学都说没有绝对安全的密码了。我发这条是给一般人作警示，毕竟真感染了会很麻烦，还是小心一点好。

@NeoAtlantis

@NeoAtlantis 毕竟一般人也不可能天天做逆向工程分析病毒玩然后调教作者。

@tnx2014 我又没说要用这个思路让大家都调戏作者，别多想了。

@sincway 加密用户文档不需要uac

@geeklian 但是下载可能需要。

@NeoAtlantis 所以我没说你说的不对啊，我只是说我的目的就是提个醒，至于你调不调教是你的自由。