再议Wannacry的 *** C钱包

访客3年前黑客资讯380

两年前恰逢Wannacry暴发没多久,小编发布了《“数”说Wannacry的 *** C钱包》一文,遭受许多小伙伴们的关心。文章内容从 *** C基础特点、交易数据收集、交易记录剖析、现金流数据可视化等好几个层面详细介绍了Wannacry恶性事件所涉及到的三个比特币账户。因为“涉案人员”帐户仍未迁移“脏款”,因此 那时候只剖析了资产的来源于,并沒有就动向进行科学研究。

有热情小伙伴们提醒,帐户在2017年8月3日对资产开展了迁移实际操作,那麼我们一起来看一下帐户里的钱来到哪?这2年来帐户发生什么事?

Tip1:为简单化叙述,原文中各自将wannacry的三个 *** C钱包重新命名为以下:

*** C钱包

通称

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

11钱包

12t9YDPgwueZ9NyMgw519p7AA8isjr6 *** w

12钱包

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

13钱包

Tip2:全部采集数据截止时间为2019年6月。

0×01 When 迁移時间

历经对三个钱包全部交易记录开展筛选,现有397笔交易,在其中6笔转走,每一个钱包各自相匹配2笔,实际如下图:

图1 11钱包转出记录

图2 12钱包转出记录

图3 13钱包转出记录

6笔交易各自产生在20170803日的11:39:15、12:28:20、12:41:34这三个時刻,必须表明的是交易時间同样的交易记录都记述在同一块上,因此 出块时间全是一样的。由此能够推测,有些人在中国北京时间2017年8月3日(间距5.12共83天)12点上下对三个帐户开展了实际操作,转离开了里边的钱。

0×02 Where 资产动向

1、帐户里一共要多少钱

三个钱包的转到交易订单数各自为:11钱包119笔, 12钱包136笔, 13钱包138笔,从遍布状况看无显著差别,也合乎《“数”说wannacry的 *** C钱包》里边提及的wannacry病毒程序对支付帐户的随机化。

图4 各钱包转到交易占有率图

截止2017.8.3日,各钱包接到的 *** C金额各自为:14.41067602btc、17.77113037btc、19.74510304btc,总共51.92690943btc。

图5 各钱包转到额度占有率图

2、资产去哪里了

为了更好地回应这个问题,大家必须对2017.8.3日的转走数据信息开展搜集跟踪,大家依然应用scrapy架构开展爬取,因为数据来源网址应用了js脚本 *** ,因此 urllib获得到的內容并不是是真正呈现的数据信息,因而引进selenium phantomjs的 *** 启用无页面电脑浏览器对网页页面开展爬取。(高版本号的selenium早已放弃了对phantomjs的适用,能够采用chrome或Firefox浏览器开展,一般 为了更好地降低資源耗费采用headless没头方式)

Step1:明确 *** 爬虫通道

为了更好地跟踪钱包里金钱动向,必须紧抓转出交易抽丝剥茧,因此 3个钱包在8.3日的6笔转走记录是关键, *** 爬虫的通道即是6笔转走记录,6条转走交易的id以下:

d17829f8097ed86fa2e961b5ccefc51877673f649196621bf90e03f42f1e9ab8

ef0ac1c130740138805bfb7cd605456e440266db1fd85ae5b4a852a7172fcf2f

35e5d5fe8c8128cfa6884f56be5817e4138c58c91b79d78d3e78a8d365b9d8a7

409803bb5e124fd028c0482027c7722e84ce55b78204b279d3a44aba5e7c1698

8def6458a46234ab0e040602e7852ff5cf58650f3f1102803b1d4bca4cc293a1

a028bb2d4c795cb8a8fd2f03285934fba8747fa84296fb7711dcda179b21cc4c

依据数据信息特性,大家制做以下的二张表来各自记录交易概述和交易详细信息。

表1:交易概述。记录每单交易的id、块高宽比、确定数、出块时间、rawtx、虚似尺寸、权重值、键入、輸出、Sigops、挖矿费、挖矿利率。

图6 交易记录因素

表2:交易详细信息。记录每一笔现金流详细信息,包含交易Id、钱包详细地址、注入排出种类、btc总数、上一笔或下一笔交易id。下面的图所显示本笔交易共包括3条现金流信息内容,1笔键入资产,2笔輸出资产。

图7 交易详细信息因素

Step2:逐渐爬取

因为 *** 爬虫是以6个通道详细地址为起始点爬取,沿着现金流跟踪,仅有进行一个交易记录的爬取才可以获得到下一个交易的网页页面详细地址,因此 另外爬取的较大 要求数只有是6,这巨大限定了 *** 爬虫的工作效能。为了更好地简单化爬取全过程,这儿只爬取了一部分数据信息开展剖析。

Step3:大数据可视化

大家对11钱包的两根转出记录开展跟踪,共搜集到593笔交易,涉及到40756条现金流。将数据信息开展恢复出厂设置解决后,导进gephi中开展数据可视化展现。

图8 钱包11的交易数据可视化

相关文章

现在要投资什么赚钱(未来十大暴利行业)

现在要投资什么赚钱(未来十大暴利行业)

引 言   房子和土地 作为最传统、最重要的资本要素 正在退出历史舞台!   与此同时 一种新的资本要素正在崛起! 如果你再看不到这种变化就彻底晚了!   天下任何事物,都有新陈代...

特朗普宣称美国大选“被操纵”-特朗普手上还有

2020年的美国大选,可以说是一场政治闹剧,所谓的民主选举成了美国两党的争执决斗。拜登获得的选举人票已达279张,胜负已经决出,悬念已不存。但特朗普明显是不认同该结果,特朗普宣称美国大选“被操纵”,并...

Vulnhub靶场之Billu

Vulnhub靶场之Billu

一、信息收集使用nmap或netdiscover扫描确定其ip访问其80端口发现是一个登入界面,使用御剑后台扫描工具和kali的dirb扫描网站目录御剑扫描结果:dirb扫描结果:现在收集到的信息有:...

怎么做葡萄酒?自制葡萄酒的方法,味道杠杠滴

怎么做葡萄酒?自制葡萄酒的方法,味道杠杠滴

葡萄酒是大家非常喜欢的酒精饮料,除了购买葡萄酒,还有许多朋友喜欢在家里自酿葡萄酒,那么,葡萄酒怎么酿?下面就跟随唐三镜吴月平一起来看看吧。 家庭自酿葡萄酒的方法: 第一步:买葡萄选购葡萄时,可以挑...

宾馆住房记录查询

官方正品 保障 多美滋溯源 一键查询 有研究报告显示,今年年初疫情后,年轻妈妈们线上购买宝宝口粮的比例越来越大。妈妈们除了看品牌、品质,更关心线上销售渠道奶粉的真伪,是否为官方授权的正品渠道。...

山东沂水提倡彩礼费1万以内怎么回事 彩礼费1万以内您觉得合适吗

近日,临沂市推进婚俗改革深化移风易俗现场会在沂水县召开。会议交流婚俗改革经验,研究破解重点问题,对全市推进婚俗改革、深化移风易俗工作进行全面部署。此次现场会明确了临沂全市推进婚俗改革的目标导向。 在...