注1：基于隱私問題，本文中隱去黑客相關信息，如有關部門需要，請與騰訊反病毒實驗室聯系。

注2 ： 自WannaCry爆發以來，騰訊反病毒實驗室一直在深入跟進整體傳播態勢，通過各種渠道，匯集各類信息 ， 努力深挖敲詐勒索病毒背后的真相。目前，從掌握的數據中，我們發現 了一個借勢騙錢的黑客， 說明目前 “ 黑吃黑 ”現象 普遍存在。

WannaCry敲詐勒索病毒從12日全面爆發到今天已過去 近 1個月 ，通過各個殺毒廠商積極應對，病毒傳播趨勢有所收斂。但事情遠沒有結束，通過騰訊反病毒實驗室威脅情報數據庫中獲取的新增樣本情況來看，參與敲詐勒索病毒傳播的人越來越多，隱匿在各國的黑客們也開始趁機而動，借勢騙錢。

黑客 目的是什么？

黑客用了 哪些手法？

黑客 來 自 哪里 ？

反病毒實驗室工程師通過對新增樣本進行詳細分析，發現新增樣本中出現大量被修改“傳播開關”、修改比特幣地址的樣本。通過對數據進行挖掘，我們找到一個被修改了比特幣地址的敲詐勒索樣本，此樣本與之前爆發的WannaCry為同一文件，除了比特幣地址被修改，其他全部保持一致。

下圖為12號WannaCry爆發原始樣本：

下圖為被修改了比特幣地址的樣本：

可以看到，除了比特幣地址被修改，其他信息全部一樣。

通過對比特幣地址的查詢，我們發現這個比特幣地址交易相對頻繁，是個使用時間較久的比特幣地址，且與原始WannaCry比特幣地址不同的是，WannaCry地址只有收入，沒有轉出，而這個地址不僅有收入，也有轉出。

經查詢，此地址第一筆交易時間是2016年9月15日，因此我們推測，此樣本背后黑客應該是想借著WannaCry的爆發，渾水摸魚，趁機撈一把。根據掌握的信息，我們準備挖出此樣本背后的黑客。

通過在騰訊反病毒實驗室威脅情報數據庫中檢索，我們找到此樣本的原始下載鏈接，訪問鏈接中的網址后，我們確認這是一家塑料化工工廠的官方網站，網站已經被黑客入侵并掛上了敲詐病毒進行下載擴散。

通過這個URL，在騰訊反病毒實驗室哈勃動態行為分析系統中進行檢索，找到了訪問此URL的原始Downlader樣本。

我們對這個Downloader樣本進行了詳細分析，發現此樣本是用PHP語言所寫，并轉成了EXE可執行文件，由此我們推斷，黑客比較熟悉PHP，對PE類可執行文件相對不是非常熟悉。正是由于這個樣本是PHP轉成的EXE文件，在這個樣本中，留下了黑客的指紋。相信，如果黑客對PE文件比較熟悉的話，是絕對不會留下這類指紋的。

在這個Downloader樣本的資源數據中，找到黑客電腦路徑信息，而此路徑中，留有黑客的網絡常用名。

溯源追擊：

針對 惡意軟件里泄漏的部分作者相關信息，通過情報系統，整合各 方面 信息， 去尋找 幕后的黑手。

情報線索 ： 捕獲的 樣本 為 PHP 編寫 打包成exe格式， 作者疏忽 留下了一個與作者相關的 可疑字符串 C *******。

我們 在情報系統和網絡上搜尋了C *******   這個 黑客相關ID 的 相關信息如下圖：

通過 獲得的信息，基本 確認 C ********   非常可能就是 作者常用的ID,  原因如下：

1. 惡意樣本包含PHP相關信息，包含路徑C********

2. 這個ID出現于幾個黑客網站和論壇

3. 該ID發布過黑客工具基于PHP開發，說明作者有豐富 的PHP開發經驗

為了 進一步 查找作者 ，我們繼續分析作者以前開發的PHP工具，找到疑似作者用的郵箱 。

綜合以上 的 挖掘信息，得到猜測的黑客 畫像 ：

此人參加過CTF（網絡安全競賽）

Youtube上制作過黑客教程

傳播過PHP惡意程序

活躍于黑客網站論壇

來自阿爾及利亞

找到此人常用EMAIL地址

找到此人的照片

在網絡搜索引擎cache中找到疑似 黑客照片 ：

整個溯源分析過程如下：

目前，被掛馬的URL已經失效，其使用的比特幣地址也未收到任何能表明與敲詐有關的轉賬。鑒于這次傳播未造成特別大的影響，這里并沒有公開黑客身份。

騰訊反病毒實驗室再次向廣大網友強調，不要向敲詐勒索者都支付任何贖金，因為你也無法確定贖金是支付給了WannaCry的黑客還是支付給了借勢騙錢的黑客。這很 可能 是一次無論是否支付贖金都不能挽回損失的敲詐勒索。