注1：基于隱私問題，本文中隱去黑客相關(guān)信息，如有關(guān)部門需要，請與騰訊反病毒實(shí)驗(yàn)室聯(lián)系。

注2 ： 自WannaCry爆發(fā)以來，騰訊反病毒實(shí)驗(yàn)室一直在深入跟進(jìn)整體傳播態(tài)勢，通過各種渠道，匯集各類信息 ， 努力深挖敲詐勒索病毒背后的真相。目前，從掌握的數(shù)據(jù)中，我們發(fā)現(xiàn) 了一個借勢騙錢的黑客， 說明目前 “ 黑吃黑 ”現(xiàn)象 普遍存在。

WannaCry敲詐勒索病毒從12日全面爆發(fā)到今天已過去 近 1個月 ，通過各個殺毒廠商積極應(yīng)對，病毒傳播趨勢有所收斂。但事情遠(yuǎn)沒有結(jié)束，通過騰訊反病毒實(shí)驗(yàn)室威脅情報數(shù)據(jù)庫中獲取的新增樣本情況來看，參與敲詐勒索病毒傳播的人越來越多，隱匿在各國的黑客們也開始趁機(jī)而動，借勢騙錢。

黑客 目的是什么？

黑客用了 哪些手法？

黑客 來 自 哪里 ？

反病毒實(shí)驗(yàn)室工程師通過對新增樣本進(jìn)行詳細(xì)分析，發(fā)現(xiàn)新增樣本中出現(xiàn)大量被修改“傳播開關(guān)”、修改比特幣地址的樣本。通過對數(shù)據(jù)進(jìn)行挖掘，我們找到一個被修改了比特幣地址的敲詐勒索樣本，此樣本與之前爆發(fā)的WannaCry為同一文件，除了比特幣地址被修改，其他全部保持一致。

下圖為12號WannaCry爆發(fā)原始樣本：

下圖為被修改了比特幣地址的樣本：

可以看到，除了比特幣地址被修改，其他信息全部一樣。

通過對比特幣地址的查詢，我們發(fā)現(xiàn)這個比特幣地址交易相對頻繁，是個使用時間較久的比特幣地址，且與原始WannaCry比特幣地址不同的是，WannaCry地址只有收入，沒有轉(zhuǎn)出，而這個地址不僅有收入，也有轉(zhuǎn)出。

經(jīng)查詢，此地址第一筆交易時間是2016年9月15日，因此我們推測，此樣本背后黑客應(yīng)該是想借著WannaCry的爆發(fā)，渾水摸魚，趁機(jī)撈一把。根據(jù)掌握的信息，我們準(zhǔn)備挖出此樣本背后的黑客。

通過在騰訊反病毒實(shí)驗(yàn)室威脅情報數(shù)據(jù)庫中檢索，我們找到此樣本的原始下載鏈接，訪問鏈接中的網(wǎng)址后，我們確認(rèn)這是一家塑料化工工廠的官方網(wǎng)站，網(wǎng)站已經(jīng)被黑客入侵并掛上了敲詐病毒進(jìn)行下載擴(kuò)散。

通過這個URL，在騰訊反病毒實(shí)驗(yàn)室哈勃動態(tài)行為分析系統(tǒng)中進(jìn)行檢索，找到了訪問此URL的原始Downlader樣本。

我們對這個Downloader樣本進(jìn)行了詳細(xì)分析，發(fā)現(xiàn)此樣本是用PHP語言所寫，并轉(zhuǎn)成了EXE可執(zhí)行文件，由此我們推斷，黑客比較熟悉PHP，對PE類可執(zhí)行文件相對不是非常熟悉。正是由于這個樣本是PHP轉(zhuǎn)成的EXE文件，在這個樣本中，留下了黑客的指紋。相信，如果黑客對PE文件比較熟悉的話，是絕對不會留下這類指紋的。

在這個Downloader樣本的資源數(shù)據(jù)中，找到黑客電腦路徑信息，而此路徑中，留有黑客的網(wǎng)絡(luò)常用名。

溯源追擊：

針對 惡意軟件里泄漏的部分作者相關(guān)信息，通過情報系統(tǒng)，整合各 方面 信息， 去尋找 幕后的黑手。

情報線索 ： 捕獲的 樣本 為 PHP 編寫 打包成exe格式， 作者疏忽 留下了一個與作者相關(guān)的 可疑字符串 C *******。

我們 在情報系統(tǒng)和網(wǎng)絡(luò)上搜尋了C *******   這個 黑客相關(guān)ID 的 相關(guān)信息如下圖：

通過 獲得的信息，基本 確認(rèn) C ********   非常可能就是 作者常用的ID,  原因如下：

1. 惡意樣本包含PHP相關(guān)信息，包含路徑C********

2. 這個ID出現(xiàn)于幾個黑客網(wǎng)站和論壇

3. 該ID發(fā)布過黑客工具基于PHP開發(fā)，說明作者有豐富 的PHP開發(fā)經(jīng)驗(yàn)

為了 進(jìn)一步 查找作者 ，我們繼續(xù)分析作者以前開發(fā)的PHP工具，找到疑似作者用的郵箱 。

綜合以上 的 挖掘信息，得到猜測的黑客 畫像 ：

此人參加過CTF（網(wǎng)絡(luò)安全競賽）

Youtube上制作過黑客教程

傳播過PHP惡意程序

活躍于黑客網(wǎng)站論壇

來自阿爾及利亞

找到此人常用EMAIL地址

找到此人的照片

在網(wǎng)絡(luò)搜索引擎cache中找到疑似 黑客照片 ：

整個溯源分析過程如下：

目前，被掛馬的URL已經(jīng)失效，其使用的比特幣地址也未收到任何能表明與敲詐有關(guān)的轉(zhuǎn)賬。鑒于這次傳播未造成特別大的影響，這里并沒有公開黑客身份。

騰訊反病毒實(shí)驗(yàn)室再次向廣大網(wǎng)友強(qiáng)調(diào)，不要向敲詐勒索者都支付任何贖金，因?yàn)槟阋矡o法確定贖金是支付給了WannaCry的黑客還是支付給了借勢騙錢的黑客。這很 可能 是一次無論是否支付贖金都不能挽回?fù)p失的敲詐勒索。