<span style="font-family: Arial; font-size: 14px; line-height: 150%;">Tom,<div><br></div><div>A couple of things. </div><div><br></div><div>First, there is a a really good Twitter account called @actual_ransom that is tracking the three known Bitcoin wallets used by the attacker. According to them, as of tonight, 275 people have paid the ransom for a total of $80,000 -- that is actually a low percentage compared to more sophisticated ransomware campaigns.</div><div><br></div><div>Remember, crypto ransomware, which is what we are talking about here, does not lock the computer, just the files. The victim can still use the browser, download software, even create new unencrypted files. So, it is trivial for for the attacker to verify who the victim is. There are a couple of ways this is done, depending on the ransomware family:</div><div><br></div><div>1. A unique key-pair is used for each victim. The attacker either checks into a CnC server and downloads the key pair upon successful infection or build the ability to generate key pairs into the ransomware itself, so no CnC is needed.</div><div><br></div><div>2. Some ransomware authors have been known to include a unique Bitcoin address for each victim, they can easily determine the victim based on the Bitcoin address entered.  </div><div><br></div><div>The guys behind WannaCry did neither of these things, which is why there is almost no chance victims will get their files decrypted.</div><div><br></div><div><br></div><div><br></div><div>allan<br><br>On 5/17/2017 at 11:12 PM, "Tom Mitchell" <mitch@niftyegg.com> wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;">I have been watching the news on the "WannaCry" ransomware<br>and I wonder if any payment resulted in a valid key?<br><br>It seems that the bitcoin payment step is secure but the delivery of the key<br>via return message is the fragile transaction from the criminals view of things.<br>A short list of rich payments might be worth the risk to keep the scam<br>alive but the list must be short.<br><br>The interesting tech here if and only if this was a "responsible scam"<br>would be  key management.<br>Identifying the correct key for the correct 'locked' machine has a<br>couple issues.  One is the machine is locked so any reliable ID of the<br>specific machine seems difficult to parse and since the machine is<br>locked a different machine must be used to make payment, communicate<br>the machine ID, receive the key and apply it to the locked machine.<br><br>Yes "responsible scam"  sounds oxymoronic at best a cruel kindness.<br><br>Well time to go update my machines, scan for viruses and make backups!<br>Also make myself a 'different' account with admin privileges and  may myself a<br>goober account for interacting with the world.  Boot and recovery media too.<br>What a pain...<br><br><br><br><br>-- <br>  T o m    M i t c h e l l<br>_______________________________________________<br>The cryptography mailing list<br>cryptography@metzdowd.com<br><a href="http://www.metzdowd.com/mailman/listinfo/cryptography">http://www.metzdowd.com/mailman/listinfo/cryptography</a></blockquote></div></span>