php教程视频教程全集
原标题:深度追踪WannaCry源头轶事注1:基于隐私问题,本文中隐去黑客相关信息,如有关部门需要,请与腾讯反病毒实验室联系注2:自WannaCry爆发以来,腾讯反病毒实验室一直资源网在深入跟进整体传播态势,通过各种渠道,汇集各类信息。
,努力深挖敲诈勒索病毒背后的真相目前,从掌握的数据中,我们发现了一个借势骗钱的黑客,说明目前“黑吃黑”现象普遍存在WannaCry敲诈勒索病毒从12资源网日全面爆发到今天已过去近1个月,通过各个杀毒厂商积极应对,病毒传播趋势有所收敛。
但事情远没有结束,通过腾讯反病毒实验室威胁情报数据库中获取的新增样本情况来看,参与敲诈勒索病毒传播的人越来越多,隐匿在各资源网国的黑客们也开始趁机而动,借势骗钱黑客目的是什么?黑客用了哪些手法?黑客来自哪里?
反病毒实验室工程师通过对新增样本进行详细分析,发现新增样本中出现大量被修改“传播开关”、修改比特币地址的样本通过对数据资源网进行挖掘,我们找到一个被修改了比特币地址的敲诈勒索样本,此样本与之前爆发的WannaCry为同一文件,除了比特币地址被修改,其他全部保持一致。
下图为12号WannaCry爆发原始样本:下图为被修改了比资源网特币地址的样本:可以看到,除了比特币地址被修改,其他信息全部一样通过对比特币地址的查询,我们发现这个比特币地址交易相对频繁,是个使用时间较久的比特币地址,且与原始WannaCry比特币地址不同的是,W资源网annaCry地址只有收入,没有转出,而这个地址不仅有收入,也有转出。
经查询,此地址第一笔交易时间是2016年9月15日,因此我们推测,此样本背后黑客应该是想借着WannaCry的爆发,浑水摸鱼,趁机资源网捞一把根据掌握的信息,我们准备挖出此样本背后的黑客通过在腾讯反病毒实验室威胁情报数据库中检索,我们找到此样本的原始下载链接,访问链接中的网址后,我们确认这是一家塑料化工工厂的官方网站,网站已经被黑客入资源网侵并挂上了敲诈病毒进行下载扩散。
通过这个URL,在腾讯反病毒实验室哈勃动态行为分析系统中进行检索,找到了访问此URL的原始Downlader样本我们对这个Downloader样本进行了详细分析,发现此资源网样本是用PHP语言所写,并转成了EXE可执行文件,由此我们推断,黑客比较熟悉PHP,对PE类可执行文件相对不是非常熟悉。
正是由于这个样本是PHP转成的EXE文件,在这个样本中,留下了黑客的指纹相信,如资源网果黑客对PE文件比较熟悉的话,是绝对不会留下这类指纹的在这个Downloader样本的资源数据中,找到黑客电脑路径信息,而此路径中,留有黑客的网络常用名。
溯源追击:针对恶意软件里泄漏的部分作者相关信息资源网,通过情报系统,整合各方面信息,去寻找幕后的黑手情报线索:捕获的样本为PHP编写打包成exe格式,作者疏忽留下了一个与作者相关的可疑字符串C*******我们
在情报系统和网络上搜寻了C*******这资源网个黑客相关ID的相关信息如下图:通过获得的信息,基本确认C********非常可能就是作者常用的ID, 原因如下:1. 恶意样本包含PHP相关信息,包含路径C********
2. 这个ID出现于几个黑资源网客网站和论坛3. 该ID发布过黑客工具基于PHP开发,说明作者有丰富 的PHP开发经验为了进一步查找作者,我们继续分析作者以前开发的PHP工具,找到疑似作者用的邮箱综合以上的挖掘信息,得到猜测的黑客
画资源网像:此人参加过CTF(网络安全竞赛)Youtube上制作过黑客教程传播过PHP恶意程序活跃于黑客网站论坛来自阿尔及利亚找到此人常用EMAIL地址找到此人的照片在网络搜索引擎cache中找到疑似黑客照片资源网
:整个溯源分析过程如下:目前,被挂马的URL已经失效,其使用的比特币地址也未收到任何能表明与敲诈有关的转账鉴于这次传播未造成特别大的影响,这里并没有公开黑客身份腾讯反病毒实验室再次向广大网友强调,不要资源网向敲诈勒索者都支付任何赎金,因为你也无法确定赎金是支付给了WannaCry的黑客还是支付给了借势骗钱的黑客。
这很可能是一次无论是否支付赎金都不能挽回损失的敲诈勒索腾讯电脑管家目前可以查杀所有Wanna资源网Cry病毒及变种,请及时开启防护*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM返回搜狐,查看更多。
责任编辑:
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系资源网我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。