1、00000000.res文件的前8个字节(Send信息图中红框内),其中00000000.res是暗网访问工具tor针对用户的一个信息标识文件
2、计算机名和计算机账户名(Send信息图中橙色框内)对应的获取代码如下图
3、受害者发送的实际内容(Send信息图中绿色框内):Hello this is a send test
Check Payment
Check Payment点击后会先检测服务器是否可以连通,如果不可以连通会提示如下信息
告知受害者检查“是否可以访问暗网”。
可以连通则发送了一段数据,如下图
关键信息有以下几部分
1、00000000.res文件的前8个字节,和send信息一致(红色框内)
2、计算机名和计算机账户名,和send信息一致(橙色框内)
3、比特币转账地址(绿色框内)
4、需转账金额(金色框内):$600
5、被加密过的key文件(00000000.eky)的内容
服务器会根据内容中发送的res前8个字节、计算机名和计算机账户名等信息确认受害者是否已经付过款,如果没有付款服务器返回失败,病毒提示如下信息
告知受害者没有付款或者病毒作者没有确认,最佳的确认时间是GMT时间上午9点到上午11点。
如果确认已经付款就会把00000000.eky文件进行解密并返回,病毒接收到服务器的返回会在受害计算机上生成用于解密文件的key文件00000000.dky,该文件会在Decrypt流程中使用到。
Decrypt
点击Decrypt后会开启解密流程,解密就是读取从服务器上获取的解密key文件00000000.dky作为密钥,遍历计算机上被加密的文件,进行解密,如下图
