不妨先简单看一下事情的经过。12月1日,火绒安全实验室发布报告称,近期火绒团队接到用户反馈,使用“微信二维码扫描”进行勒索赎金支付的勒索病毒
Bcrypt 正在大范围传播 ——
该病毒为新型勒索病毒,入侵电脑运行后,会加密用户文件,但不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这也是国内首次出现要求微信支付赎金的勒索病毒。 12月2日,火绒团队表示该勒索病毒已被其成功破解,并发布了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。声称使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系安全团队尝试解密。 根据火绒安全的分析和溯源,该病毒使用“供应链污染”的方式传播。这款名为
Bcrypt
的病毒首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。 火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的
C&C
服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。 火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。 经过进一步分析,火绒团队发现所有相关信息都指向同一主体:姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。 据安全专家表示,病毒本身写得很烂,很轻松就完全解密了,专业的病毒作者恐怕也不会使用实名制的移动支付二维码收钱。 事实上,这类直接感染源代码或代码编译程序的手法,在座的我们对此应该都不陌生。 2015年9月,就曾出现过震惊世界的 iOS 应用感染 XCodeGhost 病毒的事件。由于大量苹果开发者使用了被感染的 XCode 开发工具,导致众多 iOS 应用携带了恶意代码,盗取用户信息。其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。 这次“微信支付”勒索病毒,类似于当年的 XCodeGhost 事件,都是利用程序开发工具作为病毒传播的载体,通过下载开发再下载的路径进行扩散。有行业人士表示,这个操作“不高级”。 附:国家互联网应急中心提醒广大用户如发现电脑被病毒感染,应及时采取如下措施进行防范
|