再议Wannacry的 *** C钱包

访客3年前 (2021-01-18)黑客资讯377

两年前恰逢Wannacry暴发没多久，小编发布了《“数”说Wannacry的 *** C钱包》一文，遭受许多小伙伴们的关心。文章内容从 *** C基础特点、交易数据收集、交易记录剖析、现金流数据可视化等好几个层面详细介绍了Wannacry恶性事件所涉及到的三个比特币账户。因为“涉案人员”帐户仍未迁移“脏款”，因此那时候只剖析了资产的来源于，并沒有就动向进行科学研究。

有热情小伙伴们提醒，帐户在2017年8月3日对资产开展了迁移实际操作，那麼我们一起来看一下帐户里的钱来到哪？这2年来帐户发生什么事？

Tip1：为简单化叙述，原文中各自将wannacry的三个 *** C钱包重新命名为以下：

*** C钱包

通称

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

11钱包

12t9YDPgwueZ9NyMgw519p7AA8isjr6 *** w

12钱包

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

13钱包

Tip2：全部采集数据截止时间为2019年6月。

0×01 When 迁移時间

历经对三个钱包全部交易记录开展筛选，现有397笔交易，在其中6笔转走，每一个钱包各自相匹配2笔，实际如下图：

图1 11钱包转出记录

图2 12钱包转出记录

图3 13钱包转出记录

6笔交易各自产生在20170803日的11:39:15、12:28:20、12:41:34这三个時刻，必须表明的是交易時间同样的交易记录都记述在同一块上，因此出块时间全是一样的。由此能够推测，有些人在中国北京时间2017年8月3日（间距5.12共83天）12点上下对三个帐户开展了实际操作，转离开了里边的钱。

0×02 Where 资产动向

1、帐户里一共要多少钱

三个钱包的转到交易订单数各自为：11钱包119笔, 12钱包136笔, 13钱包138笔，从遍布状况看无显著差别，也合乎《“数”说wannacry的 *** C钱包》里边提及的wannacry病毒程序对支付帐户的随机化。

图4 各钱包转到交易占有率图

截止2017.8.3日，各钱包接到的 *** C金额各自为：14.41067602btc、17.77113037btc、19.74510304btc，总共51.92690943btc。

图5 各钱包转到额度占有率图

2、资产去哪里了

为了更好地回应这个问题，大家必须对2017.8.3日的转走数据信息开展搜集跟踪，大家依然应用scrapy架构开展爬取，因为数据来源网址应用了js脚本 *** ，因此 urllib获得到的內容并不是是真正呈现的数据信息，因而引进selenium phantomjs的 *** 启用无页面电脑浏览器对网页页面开展爬取。（高版本号的selenium早已放弃了对phantomjs的适用，能够采用chrome或Firefox浏览器开展，一般为了更好地降低資源耗费采用headless没头方式）

Step1:明确 *** 爬虫通道

为了更好地跟踪钱包里金钱动向，必须紧抓转出交易抽丝剥茧，因此 3个钱包在8.3日的6笔转走记录是关键， *** 爬虫的通道即是6笔转走记录，6条转走交易的id以下：

d17829f8097ed86fa2e961b5ccefc51877673f649196621bf90e03f42f1e9ab8

ef0ac1c130740138805bfb7cd605456e440266db1fd85ae5b4a852a7172fcf2f

35e5d5fe8c8128cfa6884f56be5817e4138c58c91b79d78d3e78a8d365b9d8a7

409803bb5e124fd028c0482027c7722e84ce55b78204b279d3a44aba5e7c1698

8def6458a46234ab0e040602e7852ff5cf58650f3f1102803b1d4bca4cc293a1

a028bb2d4c795cb8a8fd2f03285934fba8747fa84296fb7711dcda179b21cc4c

依据数据信息特性，大家制做以下的二张表来各自记录交易概述和交易详细信息。

表1：交易概述。记录每单交易的id、块高宽比、确定数、出块时间、rawtx、虚似尺寸、权重值、键入、輸出、Sigops、挖矿费、挖矿利率。