作者:Kolidat
作者是OBSERVER区块链大数据团队成员之一,OBSERVER是全球首个完全基于区块链技术的分布式大数据查询和商业系统,能够对所有区块链上大数据进行分析。
在汶川地震9周年之际,惊闻勒索病毒WCrypt木马已全球扩散,特别是国内很多政府部门和高校均未幸免,更牛逼的是,病毒居然只接收比特币赎回,还自带支持20国语言教你如何购买比特币……
先上几张图:
全球99个国家和地区12日共遭遇超过7.5万次电脑病毒攻击,电脑在感染后即被锁定,用户还被要求支付价值300美元至600美元的比特币。在受攻击最多的20个国家和地区中,俄罗斯所受攻击远远超过其他受害者,中国大陆排在第五。这是全球迄今最大的勒索软件攻击事件之一。
目前,尚未有黑客组织认领这次袭击。但业界人士的共识是,这次大规模网络攻击采用了美国国家安全局(NSA)开发的黑客工具。几个私立网络安全公司的研究人员表示,黑客通过利用名为“永恒之蓝(Eternal Blue)”的NSA代码,导致软件能够自我传播。
这种勒索软件利用微软“视窗”操作系统445端口的漏洞,国内一些网络运营商此前已封掉了该端口,但教育网并未设限。微软此前已发布相关漏洞补丁,但一些没来得及更新的电脑就会被攻击。此次传播的病毒以代号ONION和WINCRY的两个家族为主,监测显示国内首先出现前者,后者在12日下午出现并在校园网中迅速扩散。
今年4月14日,一个名为“影子中间人”的黑客组织曾经进入美国国家安全局(NSA)网络,曝光了该局一批档案文件,同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。据报道,其中包括可以远程攻破全球约70%“视窗”系统(Windows)机器的漏洞利用工具。经紧急验证这些工具真实有效。这些曝光的文件包含了多个Windows“漏洞”的利用工具,不需要用户任何操作,只要联网就可以远程攻击,和多年前的冲击波、震荡波、Conficker等蠕虫一样可以瞬间血洗互联网。
据美国有线电视新闻网(CNN)4月15日报道,公开这些网络武器正是这个名为“影子中间人”(Shadow Brokers)的黑客组织。报道称,这批网络武器针对安装有微软公司windows系统的电脑和服务器的安全漏洞,可能会被用于攻击全球银行系统。
实际上早在去年,“影子中间人”就已经窃取了美国国家安全局的网络武器。2016年8月13日,黑客组织“影子中间人”通过社交平台称,已攻入美国国家安全局(NSA)的网络“武器库”——“方程式组织”,并泄露了其中部分黑客工具和数据。该黑客组织曾经尝试在网络上出售这批网络武器,但是未能成功。据报道,该黑客组织曾经宣称如果他们收到100万个比特币(总价值约为5.68亿美元),就会公布所有工具和数据。
美国“截击”网站2016年8月19日证实,根据“棱镜门”事件曝光者、爱德华·斯诺登提供的最新文件,黑客组织此前称要在网上拍卖的强悍“网络武器”携带有美国国家安全局(NSA)的虚拟指纹,因此显然属于该局使用的黑客工具,其中不少可秘密攻击全球计算机。据报道,最重要的证据,来源于斯诺登最新提供的一份绝密文件——美国国家安全局“恶意软件植入操作手册”。
“方程式组织”开发机构实际上与美国国家安全局关系密切,是一个该局可能“不愿承认的”部门,这在黑客圈几乎是尽人皆知的秘密。“方程式组织”的开发机构已经活跃近20年,是全球技术“最牛”的黑客组织。
背景介绍完了,先研究下木马再说,先找到木马样本(怎么找的就不详说了,免得某些好奇心重的后悔),病毒名字wcry.exe,IDA打开看看:
看到我标红的地方没,病毒会自动解压(用WNcry@2ol7加密了)几个工具和依赖库:
过程不多说,完整列表见下:
· 00000000.eky
· 00000000.pky
· 00000000.res
· 274901494632976.bat
· @[email protected]
· @[email protected]
· @[email protected]
· b.wnry
· c.wnry
· f.wnry
· m.vbs
· msg\m_bulgarian.wnry
· msg\m_chinese (simplified).wnry
· msg\m_chinese (traditional).wnry
· msg\m_croatian.wnry
· msg\m_czech.wnry
· msg\m_danish.wnry
· msg\m_dutch.wnry
· msg\m_english.wnry
· msg\m_filipino.wnry
· msg\m_finnish.wnry
· msg\m_french.wnry
· msg\m_german.wnry
· msg\m_greek.wnry
· msg\m_indonesian.wnry
· msg\m_italian.wnry
· msg\m_japanese.wnry
· msg\m_korean.wnry
· msg\m_latvian.wnry
· msg\m_norwegian.wnry
· msg\m_polish.wnry
· msg\m_portuguese.wnry
· msg\m_romanian.wnry
· msg\m_russian.wnry
· msg\m_slovak.wnry
· msg\m_spanish.wnry
· msg\m_swedish.wnry
· msg\m_turkish.wnry
· msg\m_vietnamese.wnry
· r.wnry
· s.wnry
· t.wnry
· TaskData\Tor\libeay32.dll
· TaskData\Tor\libevent-2-0-5.dll
· TaskData\Tor\libevent_core-2-0-5.dll
· TaskData\Tor\libevent_extra-2-0-5.dll
· TaskData\Tor\libgcc_s_sjlj-1.dll
· TaskData\Tor\libssp-0.dll
· TaskData\Tor\ssleay32.dll
· TaskData\Tor\taskhsvc.exe
· TaskData\Tor\tor.exe
· TaskData\Tor\zlib1.dll
· taskdl.exe
· taskse.exe
· u.wnry
关键是黑客会调用RSA2048和AES128(CBC模式)加密用户特定类型文件(包括Office所有格式),然后把私钥上传到后台服务器,然后威胁用户交钱(比特币),否则3天后赎金翻倍,7天后删除所有加密文件,无法恢复!
那么赎金到哪去了?我们接着往下看,看看下图就知道了:
现在研究比特币的童鞋应该知道了,对,这正是黑客的比特币地址,和你们中招的图中地址比较下就能确认了。看来黑客利用Tor的匿名性以后,对比特币的匿名已经比较信任了,觉得靠这几个地址就没人能找得到了,其实不然(嘘……我要是黑客我就用HD地址,那是真找不到!看来黑客还是比特币小白啊),我们现在通过大数据服务是可以分析出这个地址的行为和比特币去向的(比特币网络不是一个强的匿名性网络)。
现在我们知道,赎金都打到这三个地址去了:
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
那么我们通过区块链浏览器看看:
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
随便看一个:
还不错,这才多久,这个地址就有4个BTC了,价值50000啊!
专业人士可以通过比特币客户端命令行importaddress命令来自动监控:
当然,你也可以去下个app来监控下:
(IOS)https://itunes.apple.com/us/app/blockchain-bitcoin-wallet/id493253309?mt=8
(Android)https://play.google.com/store/apps/details?id=piuk.blockchain.android
安装完以后注册个账号,菜单进入后点“地址”,导入前面三个地址就行了(需要二维码的直接看下面:)
然后在设置里面打开电子邮件通知,现在就可以实时监控了:
看到没,就我写这篇文章的时候,黑客就收到多少钱了!!!!!!
看交易金额主要是0.000100这种 和0.17左右
目前我们已经掌握了非常多数量的勒索地址,并且在持续追踪相关比特币的走向,但是考虑到目前还在追踪更多被勒索的比特币地址,就暂时不公布全部目前所掌握的全部勒索地址和具体走向。目前来看这些地址都是hard code进去的,并没有HD衍生地址,由此来看黑客似乎对比特币本身的理解并不太多,而且盲目的相信比特币的匿名性。
尽管黑客也的确可以使用“Mix”来掩藏其比特币的踪迹,但是比特币的匿名性恐怕并没有大家想的这么安全,任何的蛛丝马迹都有可能会暴露客户的踪迹,考虑到目前比特币交易所的KYC政策,特别是黑客在很长的时间内可能都无法将比特币和法币进行兑换(即使OTC也可能会被交易对象泄露身份)。
为了考虑到网络安全,也暂时不提供本次木马病毒库的下载,也请勿向本人索取,请大家谅解。
本文仅代表作者个人观点,不代表区块链铅笔的立场,不构成投资建议,内容仅供参考。
关注本公众号后,进入公众号
回复关键词可以查阅资料,以下是部分关键词
回复 WEF ,查看《WEF:世界经济论坛认为区块链是互联网金融行业的未来报告》
回复 智能合约 ,查看《巴克莱银行报告》
回复 moody ,查看《穆迪120个区块链项目报告》
回复 SWIFT ,查看SWIFT《区块链对证券交易全流程产生的影响及潜力》报告
回复 论文11 ,查看论文《可扩展的去中心区块链》
回复 埃森哲2 ,查看埃森哲《区块链每年可以为投资银行节省120亿美元》报告
回复 联合国报告 ,查看联合国报告《数字货币和区块链技术在构建社会和可信金融之间扮演的角色》
回复 用户特性 ,查看普林斯顿大学首本比特币教科书初稿《比特币用户的特性(Characteristics of Bitcoin Users)》
回复 普林斯顿 ,查看普林斯顿大学首本比特币教科书初稿《比特币和数字货币技术(Bitcoin and Cryptocurrency Technologies)》
回复 IMF,查看国际货币基金组织报告《Virtual Currencies and Beyond: Initial Considerations》
回复 DTCC ,查看美国存管信托清算公司报告《DTCC: 拥抱分布式》
回复 广发 ,查看报告《科技前沿报告:区块链:正快速走进公众和政策视野》
回复 川财1 ,查看报告《川财证券:区块链技术调研报告之一:具有颠覆所有行业的可能性》
回复 川财2 ,查看报告《川财证券:区块链技术调研报告之二:区块链技术进化论-区块链技术的国内实践和展望》
回复 桑坦德 ,查看桑坦德银行报告《The Fintech 2.0 Paper: rebooting financial services》
回复 拜占庭 ,查看《拜占庭将军问题详解》
回复 论文1 ,查看论文《比特币闪电网络:可扩展的离线即时支付》
回复 论文2 ,查看论文《比特币骨干协议》
回复 论文3 ,查看论文《数字货币是否应该进入Barbados央行国际储备货币组合中》
回复 帮助 ,查看本公众号全部关键词列表
点击下方“阅读原文”查看更多,页面出现后再点击“来源”可以查看译文原文链接
