“微信支付”勒索病毒被破解:源頭是帶病毒的開發工具
12月1日,國內首次出現了要求微信支付贖金的勒索病毒。這款病毒的勒索方式和“WannaCry”一樣,入侵電腦運行後會加密用戶文件,但是它不收取比特幣,而是要求受害者掃瞄彈出的微信支付二維碼交付贖金。根據“火絨威脅情報系統”監測和評估,截至4日晚,該病毒至少感染了10萬台電腦,不僅會加密用戶存儲在電腦的文件,還竊取了數萬條淘寶、支付寶等平台的用戶密碼等信息。12月5日,據國內幾家網絡安全公司的消息,他們已初步鎖定病毒製造者,嫌疑人是一名95後羅姓男子,並已將這些信息移交警方。
不妨先簡單看一下事情的經過。12月1日,火絨安全實驗室發佈報告稱,近期火絨團隊接到用戶反饋,使用“微信二維碼掃瞄”進行勒索贖金支付的勒索病毒 Bcrypt 正在大範圍傳播 —— 該病毒為新型勒索病毒,入侵電腦運行後,會加密用戶文件,但不收取比特幣,而是要求受害者掃瞄彈出的微信二維碼支付110元贖金,獲得解密鑰匙,這也是國內首次出現要求微信支付贖金的勒索病毒。
12月2日,火絨團隊表示該勒索病毒已被其成功破解,並發布了 解密工具 。隨後,360、騰訊等廠商也升級產品,並發布各自的解密工具。聲稱使用這些安全軟件即可查殺該病毒,已經被感染用戶,可以使用這些解密工具還原被鎖死的文件。如果密鑰文件被刪除,也可聯繫安全團隊嘗試解密。
根據 火絨安全 的分析和溯源,該病毒使用“供應鏈污染”的方式傳播。這款名為 Bcrypt 的病毒首先通過相關論壇,植入被大量開發者使用的“易語言”編程程序,進而植入他們編寫的各種軟件產品,所有使用這些軟件產品的電腦都可能被感染。活躍的染毒軟件超過50款,其中多數是"薅羊毛"類灰色軟件。
火絨團隊發現,病毒製造者利用豆瓣等平台當作下發指令的 C&C 服務器。火絨團隊通過逆向分析病毒的下發指令,成功解密出其中2台病毒服務器,發現大量被病毒竊取的用戶個人信息。僅1台用於存儲數據的病毒服務器,就存放了竊取來的淘寶、支付寶等賬戶密碼兩萬餘條。
火絨團隊的分析表明,微信支付、支付寶和豆瓣等平台,均與該病毒的傳播和作惡沒有直接關係,也沒有發現有系統漏洞被利用。微信在12月1號當天關閉了勒索贖金的賬號;豆瓣12月4號刪除了病毒下發指令的頁面,控制了病毒的進一步傳播。
經過進一步分析,火絨團隊發現所有相關信息都指向同一主體:姓名(羅**)、手機(1********45)、QQ(1*****86)、旺旺賬號名(l****96)、郵箱(29*****@qq.com)。火絨已將上述個人信息,和被竊取的受害用戶支付寶密碼等信息,一併交給警方。
據安全專家表示,病毒本身寫得很爛,很輕鬆就完全解密了,專業的病毒作者恐怕也不會使用實名制的移動支付二維碼收錢。
事實上,這類直接感染源代碼或代碼編譯程序的手法,在座的我們對此應該都不陌生。
2015年9月,就曾出現過震驚世界的 iOS 應用感染 XCodeGhost 病毒的事件。由於大量蘋果開發者使用了被感染的 XCode 開發工具,導致眾多 iOS 應用攜帶了惡意代碼,盜取用戶信息。其中甚至包括了很多幾乎所有人都會使用的一些“必備應用”,也均未能倖免。
這次“微信支付”勒索病毒,類似於當年的 XCodeGhost 事件,都是利用程序開發工具作為病毒傳播的載體,通過下載開發再下載的路徑進行擴散。有行業人士表示,這個操作“不高級”。
附:國家互聯網應急中心提醒廣大用戶如發現電腦被病毒感染,應及時採取如下措施進行防範
- 安裝並及時更新殺毒軟件,目前市場主流反病毒軟件都已支持針對該勒索病毒的防護與查殺。
- 不要輕易打開來源不明的軟件,該勒索病毒通過易語言編寫的程序傳播,減少使用來源不明的軟件可有效預防。
- 如已經感染勒索病毒,可使用相關解密工具嘗試解密。目前,許多公司已經針對該勒索病毒開發瞭解密工具,包括火絨Bcrypt專用解密工具、騰訊電腦管家“文檔守護者”、360安全衛士“360解密大師”等。
- 已感染勒索病毒的用戶,在清除病毒後,盡快修改淘寶、天貓、支付寶、QQ等敏感平台的密碼。
- 定期在不同的存儲介質上備份計算機中的重要文件。
本站文章除註明轉載外,均為本站原創或編譯。歡迎任何形式的轉載,但請務必註明出處,尊重他人勞動共創開源社區。轉載請註明:文章轉載自 開源中國社區 [https://www.oschina.net]本文標題:“微信支付”勒索病毒被破解:源頭是帶病毒的開發工具