專家勸勿支付WannaCry勒索贖金

WannaCry肆虐全球，更有未經證實消息指，受害者可按收入狀況與黑客「講價」。然而，Check Point專家卻指受害人或機構根本不應向黑客支付任何贖金。

Check Point方面透露，截至上周，與WannaCry勒索軟件有關的3 個比特幣帳戶，已累計收到超過$33,000美元。惟目前卻沒有任何報告案例，顯示有人成功取回檔案。Check Point專家認為，WannaCry勒索軟件的解密流程本身就存在問題。

和勒索軟件市場中其他競爭者不同的是，WannaCry似乎沒有辦法將款項與付款人相關聯。大多數勒索軟件（如Cerber），會針對每一位受害者產生唯一的ID和比特幣錢包，所以可以知道解密金鑰的寄送對象。而WannaCry卻只要求交付贖金，然後就是……等。受害者可以按下「確認付款」按鈕，但到目前為止，僅有的結果就如附圖所示，被鎖的檔案並未有因支付贖金而解密。

WannaCry解密能力成疑

大多數成功的勒索軟件，都以自己完善的客戶支援為傲，而且通常也很容易取得聯絡，而WannaCry卻並非如此。與此惡意軟件建立者聯絡的唯一方式，就是透過勒索軟件說明畫面上的「聯絡我們」選項。不過Check Point方面作出多番嘗試，卻尚未收到任何回覆。

加上Check Point專家們的研究，令他們對WannaCry建立者解密檔案的能力相當存疑。該惡意軟件包含兩個獨立的解密/加密常式：一個用於大部份受害者檔案，每個檔案都用唯一的金鑰加密。若要將檔案解密，必須使用建立者本該隨「.dky」檔案提供的私密RSA金鑰；而第二個加密/解密常式，則用於可解密的 10個檔案以作為「免費示範」，意在向受害者保證確實可以將檔案解密，並說服他們支付贖金。這10個特定檔案在加密時隨機選出，每個檔案也都用唯一金鑰加密。不過，這10個檔案的私密RSA金鑰，均儲存在受害者的本機電腦裡。

專家又指，WannaCry的主解密函數，試圖叫出一個預期應包含私密RSA金鑰的「.dky」檔案，並用以解密受害者電腦中的所有檔案。而WannaCry內含類似函數，但其試圖叫出加密程式模組置放的「f.wnry」檔案，其中包含一份示範檔案清單。私密RSA金鑰已硬式編碼入該模組中。兩組函數都能叫出 import_RSA_key模組。即主解密程式中含有連往「.dky」檔案的路徑，示範解密程式則含有空路徑。也就是說，那根本是個虛假的解密操作示範檔案。

考慮到上述種種因素：既無報告顯示有人成功取回檔案、存有問題的付款和解密機制，以及虛假的解密操作示範檔案，都令Check Point專家懷疑，WannaCry建立者是否有能力餞行承諾，將已支付贖款的檔案解密。