深度追蹤WannaCry源頭軼事

注1：基於隱私問題，本文中隱去黑客相關信息，如有關部門需要，請與騰訊反病毒實驗室聯繫。

注2

：

自WannaCry爆發以來，騰訊反病毒實驗室一直在深入跟進整體傳播態勢，通過各種渠道，彙集各類信息

，

努力深挖敲詐勒索病毒背後的真相。目前，從掌握的數據中，我們發現

了

一個借勢騙錢的黑客，

說明目前

「

黑吃黑

」現象

普遍存在。

WannaCry敲詐勒索病毒從12日全面爆發到今天已過去

近

1個月

，通過各個殺毒廠商積極應對，病毒傳播趨勢有所收斂。但事情遠沒有結束，通過騰訊反病毒實驗室威脅情報資料庫中獲取的新增樣本情況來看，參與敲詐勒索病毒傳播的人越來越多，隱匿在各國的黑客們也開始趁機而動，借勢騙錢。

黑客

目的是什麼？

黑客用了

哪些手法？

黑客

來

自

哪裡

？

反病毒實驗室工程師通過對新增樣本進行詳細分析，發現新增樣本中出現大量被修改「傳播開關」、修改比特幣地址的樣本。通過對數據進行挖掘，我們找到一個被修改了比特幣地址的敲詐勒索樣本，此樣本與之前爆發的WannaCry為同一文件，除了比特幣地址被修改，其他全部保持一致。

下圖為12號WannaCry爆發原始樣本：

下圖為被修改了比特幣地址的樣本：

可以看到，除了比特幣地址被修改，其他信息全部一樣。

通過對比特幣地址的查詢，我們發現這個比特幣地址交易相對頻繁，是個使用時間較久的比特幣地址，且與原始WannaCry比特幣地址不同的是，WannaCry地址只有收入，沒有轉出，而這個地址不僅有收入，也有轉出。

經查詢，此地址第一筆交易時間是2016年9月15日，因此我們推測，此樣本背後黑客應該是想借著WannaCry的爆發，渾水摸魚，趁機撈一把。根據掌握的信息，我們準備挖出此樣本背後的黑客。

通過在騰訊反病毒實驗室威脅情報資料庫中檢索，我們找到此樣本的原始下載鏈接，訪問鏈接中的網址後，我們確認這是一家塑料化工工廠的官方網站，網站已經被黑客入侵併掛上了敲詐病毒進行下載擴散。

通過這個URL，在騰訊反病毒實驗室哈勃動態行為分析系統中進行檢索，找到了訪問此URL的原始Downlader樣本。

我們對這個Downloader樣本進行了詳細分析，發現此樣本是用PHP語言所寫，並轉成了EXE可執行文件，由此我們推斷，黑客比較熟悉PHP，對PE類可執行文件相對不是非常熟悉。正是由於這個樣本是PHP轉成的EXE文件，在這個樣本中，留下了黑客的指紋。相信，如果黑客對PE文件比較熟悉的話，是絕對不會留下這類指紋的。

在這個Downloader樣本的資源數據中，找到黑客電腦路徑信息，而此路徑中，留有黑客的網路常用名。

溯源追擊：

針對

惡意軟體里泄漏的部分作者相關信息，通過情報系統，整合各

方面

信息，

去尋找

幕後的黑手。

情報線索

：

捕獲的

樣本

為

PHP

編寫

打包成exe格式，

作者疏忽

留下了一個與作者相關的

可疑字元串

C

*******。

我們

在情報系統和網路上搜尋了C

*******

這個

黑客相關ID

的

相關信息如下圖：

通過

獲得的信息，基本

確認

C

********

非常可能就是

作者常用的ID,

原因如下：

1. 惡意樣本包含PHP相關信息，包含路徑C********

2. 這個ID出現於幾個黑客網站和論壇

3. 該ID發布過黑客工具基於PHP開發，說明作者有豐富 的PHP開發經驗

為了

進一步

查找作者

，我們繼續分析作者以前開發的PHP工具，找到疑似作者用的郵箱

。

綜合以上

的

挖掘信息，得到猜測的黑客

畫像

：

此人參加過CTF（網路安全競賽）

Youtube上製作過黑客教程

傳播過PHP惡意程序

活躍於黑客網站論壇

來自阿爾及利亞

找到此人常用EMAIL地址

找到此人的照片

在網路搜索引擎cache中找到疑似

黑客照片

：

整個溯源分析過程如下：

目前，被掛馬的URL已經失效，其使用的比特幣地址也未收到任何能表明與敲詐有關的轉賬。鑒於這次傳播未造成特別大的影響，這裡並沒有公開黑客身份。

騰訊反病毒實驗室再次向廣大網友強調，不要向敲詐勒索者都支付任何贖金，因為你也無法確定贖金是支付給了WannaCry的黑客還是支付給了借勢騙錢的黑客。這很

可能

是一次無論是否支付贖金都不能挽回損失的敲詐勒索。

騰訊電腦管家目前可以查殺所有WannaCry病毒及變種，請及時開啟防護。

*本文作者：騰訊電腦管家，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！