可以連通則發(fā)送了一段數(shù)據(jù)，如下圖

關(guān)鍵信息有以下幾部分

1、 00000000.res文件的前8個(gè)字節(jié)，和send信息一致(紅色框內(nèi))

2、 計(jì)算機(jī)名和計(jì)算機(jī)賬戶名，和send信息一致(橙色框內(nèi))

3、 比特幣轉(zhuǎn)賬地址(綠色框內(nèi))

4、 需轉(zhuǎn)賬金額(金色框內(nèi))：$600

5、 被加密過(guò)的key文件(00000000.eky)的內(nèi)容

服務(wù)器會(huì)根據(jù)內(nèi)容中發(fā)送的res前8個(gè)字節(jié)、計(jì)算機(jī)名和計(jì)算機(jī)賬戶名等信息確認(rèn)受害者是否已經(jīng)付過(guò)款，如果沒(méi)有付款服務(wù)器返回失敗，病毒提示如下信息

告知受害者沒(méi)有付款或者病毒作者沒(méi)有確認(rèn)，最佳的確認(rèn)時(shí)間是GMT時(shí)間上午9點(diǎn)到上午11點(diǎn)。

如果確認(rèn)已經(jīng)付款就會(huì)把00000000.eky文件進(jìn)行解密并返回，病毒接收到服務(wù)器的返回會(huì)在受害計(jì)算機(jī)上生成用于解密文件的key文件00000000.dky，該文件會(huì)在Decrypt流程中使用到。

Decrypt

點(diǎn)擊Decrypt后會(huì)開(kāi)啟解密流程，解密就是讀取從服務(wù)器上獲取的解密key文件00000000.dky作為密鑰，遍歷計(jì)算機(jī)上被加密的文件，進(jìn)行解密，如下圖