雷锋网消息,12月1日,首个要求“微信支付”赎金的勒索病毒在国内爆发,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。
日均感染量图,最高13134台(从病毒服务器获取的数据)
没错,狡猾的黑客们这次放弃了把比特币当作赎金这种“不接地气”的勒索方式,而是发起微信二维码扫描进行勒索赎金支付(勒索病毒Bcrypt)。用户中毒重启电脑后,会弹出勒索信息提示窗口,让用户扫描微信二维码支付110元赎金进行文件解密。
病毒作者谎骗用户称“因密钥数据较大如超出个这时间(即2天后)服务器会自动删除密钥,此解密程序将失效”,但实际解密密钥存放在用户本地,在不访问病毒作者服务器的情况下,也完全可以成功解密。如下图所示:
据火绒安全团队分析、溯源,该病毒巧妙地利用“供应链污染”的方式进行传播。首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是“薅羊毛”类灰色软件。
部分被感染软件
另外,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件,包括“腾讯游戏、英雄联盟、tmp、rtl、program”,而且不会感染使用gif、exe、tmp等扩展名的文件。
值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。
截止到12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。
供应链污染流程
此外,火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。工程师通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。
被盗取的登录信息数据统计信息
也就是说,中招用户可能损失的不止是钱还有被该病毒窃取的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。(各位该赶紧改密码了!)
此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件。
经过进一步分析,所有相关信息都指向同一主体——姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。目前,病毒制造者个人信息及被窃取的受害用户支付宝密码等信息都已被交给警方。
至于微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。
而广大用户也无需担心,12月1日该病毒爆发后,众多安全厂商都已升级产品,并发布各自的解密工具。使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。
雷锋网宅客频道(微信公众号:letshome),专注先锋科技,讲述黑客背后的故事。欢迎关注雷锋网宅客频道。