“微信支付”勒索病毒被破解:源头是带病毒的开发工具

  

12月1日,国内首次出现了要求微信支付赎金的勒索病毒。这款病毒的勒索方式和“WannaCry”一样,入侵电脑运行后会加密用户文件,但是它不收取比特币,而是要求受害者扫描弹出的微信支付二维码交付赎金。根据“火绒威胁情报系统”监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不仅会加密用户存储在电脑的文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。12月5日,据国内几家网络安全公司的消息,他们已初步锁定病毒制造者,嫌疑人是一名95后罗姓男子,并已将这些信息移交警方。

不妨先简单看一下事情的经过。12月1日,火绒安全实验室发布报告称,近期火绒团队接到用户反馈,使用“微信二维码扫描”进行勒索赎金支付的勒索病毒 Bcrypt 正在大范围传播 —— 该病毒为新型勒索病毒,入侵电脑运行后,会加密用户文件,但不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这也是国内首次出现要求微信支付赎金的勒索病毒。

12月2日,火绒团队表示该勒索病毒已被其成功破解,并发布了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。声称使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系安全团队尝试解密。

根据火绒安全的分析和溯源,该病毒使用“供应链污染”的方式传播。这款名为 Bcrypt 的病毒首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。

火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的 C&C 服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。

火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。

经过进一步分析,火绒团队发现所有相关信息都指向同一主体:姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。

据安全专家表示,病毒本身写得很烂,很轻松就完全解密了,专业的病毒作者恐怕也不会使用实名制的移动支付二维码收钱。

事实上,这类直接感染源代码或代码编译程序的手法,在座的我们对此应该都不陌生。

2015年9月,就曾出现过震惊世界的 iOS 应用感染 XCodeGhost 病毒的事件。由于大量苹果开发者使用了被感染的 XCode 开发工具,导致众多 iOS 应用携带了恶意代码,盗取用户信息。其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。

这次“微信支付”勒索病毒,类似于当年的 XCodeGhost 事件,都是利用程序开发工具作为病毒传播的载体,通过下载开发再下载的路径进行扩散。有行业人士表示,这个操作“不高级”。

附:国家互联网应急中心提醒广大用户如发现电脑被病毒感染,应及时采取如下措施进行防范

  1. 安装并及时更新杀毒软件,目前市场主流反病毒软件都已支持针对该勒索病毒的防护与查杀。

  2. 不要轻易打开来源不明的软件,该勒索病毒通过易语言编写的程序传播,减少使用来源不明的软件可有效预防。

  3. 如已经感染勒索病毒,可使用相关解密工具尝试解密。目前,许多公司已经针对该勒索病毒开发了解密工具,包括火绒Bcrypt专用解密工具、腾讯电脑管家“文档守护者”、360安全卫士“360解密大师”等。

  4. 已感染勒索病毒的用户,在清除病毒后,尽快修改淘宝、天猫、支付宝、QQ等敏感平台的密码。

  5. 定期在不同的存储介质上备份计算机中的重要文件。

猜你喜欢

转载自www.oschina.net/news/102437/ransomware-weixinpay
0条评论
添加一条新回复