深度追踪WannaCry源头轶事

注1：基于隐私问题，本文中隐去黑客相关信息，如有关部门需要，请与腾讯反病毒实验室联系。 注2：自WannaCry爆发以来，腾讯反病毒实验室一直在深入跟进整体传播态势，通过各种渠道，汇集各类信息，努力深挖敲诈勒索病毒背后的真相。目前，从掌握的数据中，我们发现 了一个借势骗钱的黑客，说明目前“黑吃黑”现象普遍存在。

WannaCry敲诈勒索病毒从12日全面爆发到今天已过去近1个月，通过各个杀毒厂商积极应对，病毒传播趋势有所收敛。但事情远没有结束，通过腾讯反病毒实验室威胁情报数据库中获取的新增样本情况来看，参与敲诈勒索病毒传播的人越来越多，隐匿在各国的黑客们也开始趁机而动，借势骗钱。

黑客目的是什么？ 黑客用了哪些手法？ 黑客来自哪里？

反病毒实验室工程师通过对新增样本进行详细分析，发现新增样本中出现大量被修改“传播开关”、修改比特币地址的样本。通过对数据进行挖掘，我们找到一个被修改了比特币地址的敲诈勒索样本，此样本与之前爆发的WannaCry为同一文件，除了比特币地址被修改，其他全部保持一致。

下图为12号WannaCry爆发原始样本：

下图为被修改了比特币地址的样本：

可以看到，除了比特币地址被修改，其他信息全部一样。

通过对比特币地址的查询，我们发现这个比特币地址交易相对频繁，是个使用时间较久的比特币地址，且与原始WannaCry比特币地址不同的是，WannaCry地址只有收入，没有转出，而这个地址不仅有收入，也有转出。

经查询，此地址第一笔交易时间是2016年9月15日，因此我们推测，此样本背后黑客应该是想借着WannaCry的爆发，浑水摸鱼，趁机捞一把。根据掌握的信息，我们准备挖出此样本背后的黑客。

通过在腾讯反病毒实验室威胁情报数据库中检索，我们找到此样本的原始下载链接，访问链接中的网址后，我们确认这是一家塑料化工工厂的官方网站，网站已经被黑客入侵并挂上了敲诈病毒进行下载扩散。

通过这个URL，在腾讯反病毒实验室哈勃动态行为分析系统中进行检索，找到了访问此URL的原始Downlader样本。

我们对这个Downloader样本进行了详细分析，发现此样本是用PHP语言所写，并转成了EXE可执行文件，由此我们推断，黑客比较熟悉PHP，对PE类可执行文件相对不是非常熟悉。正是由于这个样本是PHP转成的EXE文件，在这个样本中，留下了黑客的指纹。相信，如果黑客对PE文件比较熟悉的话，是绝对不会留下这类指纹的。

在这个Downloader样本的资源数据中，找到黑客电脑路径信息，而此路径中，留有黑客的网络常用名。

溯源追击：

针对恶意软件里泄漏的部分作者相关信息，通过情报系统，整合各方面信息，去寻找幕后的黑手。

情报线索：捕获的样本为PHP 编写打包成exe格式，作者疏忽留下了一个与作者相关的可疑字符串C*******。

我们在情报系统和网络上搜寻了C******* 这个黑客相关ID 的相关信息如下图：

通过获得的信息，基本确认C******** 非常可能就是作者常用的ID, 原因如下：

1. 恶意样本包含PHP相关信息，包含路径C******** 2. 这个ID出现于几个黑客网站和论坛 3. 该ID发布过黑客工具基于PHP开发，说明作者有丰富 的PHP开发经验

为了进一步查找作者，我们继续分析作者以前开发的PHP工具，找到疑似作者用的邮箱。

综合以上的挖掘信息，得到猜测的黑客画像：

此人参加过CTF（网络安全竞赛） Youtube上制作过黑客教程 传播过PHP恶意程序 活跃于黑客网站论坛 来自阿尔及利亚 找到此人常用EMAIL地址 找到此人的照片

在网络搜索引擎cache中找到疑似黑客照片：

整个溯源分析过程如下：

目前，被挂马的URL已经失效，其使用的比特币地址也未收到任何能表明与敲诈有关的转账。鉴于这次传播未造成特别大的影响，这里并没有公开黑客身份。

腾讯反病毒实验室再次向广大网友强调，不要向敲诈勒索者都支付任何赎金，因为你也无法确定赎金是支付给了WannaCry的黑客还是支付给了借势骗钱的黑客。这很可能是一次无论是否支付赎金都不能挽回损失的敲诈勒索。

腾讯电脑管家目前可以查杀所有WannaCry病毒及变种，请及时开启防护。