手撕“永恒之蓝”-手动拆解勒索病毒及比特币走向跟踪

暴走时评：目前OBSERVER已经掌握了非常多数量的勒索地址，并且在持续追踪相关比特币的走向，但是考虑到目前还在追踪更多被勒索的比特币地址，就暂时不公布全部目前所掌握的全部勒索地址和具体走向。目前来看这些地址都是hard code进去的，并没有HD衍生地址，由此来看黑客似乎对比特币本身的理解并不太多，而且盲目的相信比特币的匿名性。

作者：Kolidat

作者是OBSERVER区块链大数据团队成员之一，OBSERVER是全球首个完全基于区块链技术的分布式大数据查询和商业系统，能够对所有区块链上大数据进行分析。

在汶川地震9周年之际，惊闻勒索病毒WCrypt木马已全球扩散，特别是国内很多政府部门和高校均未幸免，更牛逼的是，病毒居然只接收比特币赎回，还自带支持20国语言教你如何购买比特币……

先上几张图：

全球99个国家和地区12日共遭遇超过7.5万次电脑病毒攻击，电脑在感染后即被锁定，用户还被要求支付价值300美元至600美元的比特币。在受攻击最多的20个国家和地区中，俄罗斯所受攻击远远超过其他受害者，中国大陆排在第五。这是全球迄今最大的勒索软件攻击事件之一。

目前，尚未有黑客组织认领这次袭击。但业界人士的共识是，这次大规模网络攻击采用了美国国家安全局（NSA）开发的黑客工具。几个私立网络安全公司的研究人员表示，黑客通过利用名为“永恒之蓝（Eternal Blue）”的NSA代码，导致软件能够自我传播。

这种勒索软件利用微软“视窗”操作系统445端口的漏洞，国内一些网络运营商此前已封掉了该端口，但教育网并未设限。微软此前已发布相关漏洞补丁，但一些没来得及更新的电脑就会被攻击。此次传播的病毒以代号ONION和WINCRY的两个家族为主，监测显示国内首先出现前者，后者在12日下午出现并在校园网中迅速扩散。

今年4月14日，一个名为“影子中间人”的黑客组织曾经进入美国国家安全局（NSA）网络，曝光了该局一批档案文件，同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。据报道，其中包括可以远程攻破全球约70%“视窗”系统（Windows）机器的漏洞利用工具。经紧急验证这些工具真实有效。这些曝光的文件包含了多个Windows“漏洞”的利用工具，不需要用户任何操作，只要联网就可以远程攻击，和多年前的冲击波、震荡波、Conficker等蠕虫一样可以瞬间血洗互联网。

据美国有线电视新闻网（CNN）4月15日报道，公开这些网络武器正是这个名为“影子中间人”（Shadow Brokers）的黑客组织。报道称，这批网络武器针对安装有微软公司windows系统的电脑和服务器的安全漏洞，可能会被用于攻击全球银行系统。

实际上早在去年，“影子中间人”就已经窃取了美国国家安全局的网络武器。2016年8月13日，黑客组织“影子中间人”通过社交平台称，已攻入美国国家安全局（NSA）的网络“武器库”——“方程式组织”，并泄露了其中部分黑客工具和数据。该黑客组织曾经尝试在网络上出售这批网络武器，但是未能成功。据报道，该黑客组织曾经宣称如果他们收到100万个比特币（总价值约为5.68亿美元），就会公布所有工具和数据。

美国“截击”网站2016年8月19日证实，根据“棱镜门”事件曝光者、爱德华·斯诺登提供的最新文件，黑客组织此前称要在网上拍卖的强悍“网络武器”携带有美国国家安全局（NSA）的虚拟指纹，因此显然属于该局使用的黑客工具，其中不少可秘密攻击全球计算机。据报道，最重要的证据，来源于斯诺登最新提供的一份绝密文件——美国国家安全局“恶意软件植入操作手册”。

“方程式组织”开发机构实际上与美国国家安全局关系密切，是一个该局可能“不愿承认的”部门，这在黑客圈几乎是尽人皆知的秘密。“方程式组织”的开发机构已经活跃近20年，是全球技术“最牛”的黑客组织。

背景介绍完了，先研究下木马再说，先找到木马样本（怎么找的就不详说了，免得某些好奇心重的后悔），病毒名字wcry.exe，IDA打开看看：

看到我标红的地方没，病毒会自动解压（用WNcry@2ol7加密了）几个工具和依赖库：

过程不多说，完整列表见下：

· 00000000.eky

· 00000000.pky

· 00000000.res

· 274901494632976.bat

· @Please_Read_Me@.txt

· @WanaDecryptor@.bmp

· @WanaDecryptor@.exe

· b.wnry

· c.wnry

· f.wnry

· m.vbs

· msgm_bulgarian.wnry

· msgm_chinese (simplified).wnry

· msgm_chinese (traditional).wnry

· msgm_croatian.wnry

· msgm_czech.wnry

· msgm_danish.wnry

· msgm_dutch.wnry

· msgm_english.wnry

· msgm_filipino.wnry

· msgm_finnish.wnry

· msgm_french.wnry

· msgm_german.wnry

· msgm_greek.wnry

· msgm_indonesian.wnry

· msgm_italian.wnry

· msgm_japanese.wnry

· msgm_korean.wnry

· msgm_latvian.wnry

· msgm_norwegian.wnry

· msgm_polish.wnry

· msgm_portuguese.wnry

· msgm_romanian.wnry

· msgm_russian.wnry

· msgm_slovak.wnry

· msgm_spanish.wnry

· msgm_swedish.wnry

· msgm_turkish.wnry

· msgm_vietnamese.wnry

· r.wnry

· s.wnry

· t.wnry

· TaskDataTorlibeay32.dll

· TaskDataTorlibevent-2-0-5.dll

· TaskDataTorlibevent_core-2-0-5.dll

· TaskDataTorlibevent_extra-2-0-5.dll

· TaskDataTorlibgcc_s_sjlj-1.dll

· TaskDataTorlibssp-0.dll

· TaskDataTorssleay32.dll

· TaskDataTortaskhsvc.exe

· TaskDataTortor.exe

· TaskDataTorzlib1.dll

· taskdl.exe

· taskse.exe

· u.wnry

关键是黑客会调用RSA2048和AES128（CBC模式）加密用户特定类型文件（包括Office所有格式），然后把私钥上传到后台服务器，然后威胁用户交钱（比特币），否则3天后赎金翻倍，7天后删除所有加密文件，无法恢复！

那么赎金到哪去了？我们接着往下看，看看下图就知道了：

现在研究比特币的童鞋应该知道了，对，这正是黑客的比特币地址，和你们中招的图中地址比较下就能确认了。看来黑客利用Tor的匿名性以后，对比特币的匿名已经比较信任了，觉得靠这几个地址就没人能找得到了，其实不然（嘘……我要是黑客我就用HD地址，那是真找不到！看来黑客还是比特币小白啊），我们现在通过大数据服务是可以分析出这个地址的行为和比特币去向的（比特币网络不是一个强的匿名性网络）。

现在我们知道，赎金都打到这三个地址去了：

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

那么我们通过区块链浏览器看看：

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

随便看一个：

还不错，这才多久，这个地址就有4个BTC了，价值50000啊！

专业人士可以通过比特币客户端命令行importaddress命令来自动监控：

当然，你也可以去下个app来监控下：

（IOS）https://itunes.apple.com/us/app/blockchain-bitcoin-wallet/id493253309?mt=8

（Android）https://play.google.com/store/apps/details?id=piuk.blockchain.android

安装完以后注册个账号，菜单进入后点“地址”，导入前面三个地址就行了（需要二维码的直接看下面：）

然后在设置里面打开电子邮件通知，现在就可以实时监控了：

看到没，就我写这篇文章的时候，黑客就收到多少钱了！！！！！！

看交易金额主要是0.000100这种 和0.17左右

目前我们已经掌握了非常多数量的勒索地址，并且在持续追踪相关比特币的走向，但是考虑到目前还在追踪更多被勒索的比特币地址，就暂时不公布全部目前所掌握的全部勒索地址和具体走向。目前来看这些地址都是hard code进去的，并没有HD衍生地址，由此来看黑客似乎对比特币本身的理解并不太多，而且盲目的相信比特币的匿名性。

尽管黑客也的确可以使用“Mix”来掩藏其比特币的踪迹，但是比特币的匿名性恐怕并没有大家想的这么安全，任何的蛛丝马迹都有可能会暴露客户的踪迹，考虑到目前比特币交易所的KYC政策，特别是黑客在很长的时间内可能都无法将比特币和法币进行兑换（即使OTC也可能会被交易对象泄露身份）。

为了考虑到网络安全，也暂时不提供本次木马病毒库的下载，也请勿向本人索取，请大家谅解。

作者：Kolidat