640.jpg

导语:

近日,多家网络安全机构确认,国内出现了要求微信支付赎金的勒索病毒。该病毒入侵用户电脑后会加密用户文件,要求受害者扫描弹出的微信二维码支付赎金,获得解密钥匙。

据国家互联网应急中心发布的通报,12月1日前后,一种新型的勒索病毒在国内开始传播,该勒索病毒要求受害者使用“微信支付”支付赎金。

640.jpg

病毒制作者利用github、CSDN、豆瓣、简书、QQ空间等网站页面作为下发指令的C&C服务器,加密受害者文件并勒索赎金,同时窃取支付宝等软件密码。

解密:

640.jpg

用户电脑被勒索病毒感染后,要求微信扫码支付赎金的界面

火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传。

640.png

图:被盗取的登录信息数据统计信息

到了这一步,相信不少人以为,上面的微信支付二维码一定是个幌子,当自己扫码之后会被植入恶意程序…….其实不然,这是一个真实有效的二维码。

转账金额固定:110元

腾讯回应:微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信方面也提醒到,该勒索病毒可能通过任何形式的支付方式索要转账,若遭遇勒索,不要付款,及时报警。同时,腾讯电脑管家提供解密工具和人工服务,协助用户处理相关情况。

支付宝安全中心表示:已第一时间跟进,目前没有一例支付宝账户受到影响。针对此类风险,支付宝风控系统早有针对性的防护,包括二次校验短信校验码、人脸识别等。即便密码泄露,也能最大程度的确保账户安全。

调查

640.jpg

该病毒采用“供应链感染”方式进行传播,通过论坛传播植入病毒的“易语言”编程软件,进而植入各开发者开发的软件,传播勒索病毒;同时,该病毒还窃取用户的账号密码,包括淘宝、天猫、支付宝、QQ等。

据一些网络安全公司评估,截至12月4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。其中,淘宝、天猫、支付宝的账户密码数据最多。

始作俑者疑似是一名95后

人们很好奇,幕后的始作俑者到底是谁?

12月5日,澎湃新闻从一家网络安全公司了解到:

经过进一步分析,发现所有相关信息都指向同一主体——姓名(罗**)、手机(1********45)、QQ(1*****86)。此人是一位95后黑客。当然,要确定病毒的制造者还需要警方等部门权威认定。

640.jpg

目前,上述个人信息和被窃取的受害用户支付宝密码等信息,都已被交给警方。

转机

640.jpg

事情到这里,好像已经完结,但是。

12月4日 23:18 ,微博@雕哥创始人发了一条微博,截图里显示,已经联系上这名95后“黑客”,当时,这名“黑客”在玩儿LOL,莫名被加了QQ之后还在问:从哪儿加的。。。。。

640.jpg640.jpg640.jpg

估计是在哪儿搞的源码。。。。

640.jpg

抓捕

640.jpg

据广东省东莞市公安局通报,根据上级公安机关“净网安网2018”专项行动有关部署,近日,东莞网警在省公安厅网警总队的统筹指挥,以及腾讯和360公司的大力协助下,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者1名,缴获木马程序和作案工具一批。

该犯罪嫌疑人涉嫌利用自制病毒木马入侵用户计算机,非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条,全网已有超过10万台计算机被感染。

案件通报:

12月4日18时许,东莞网警支队接省公安厅网警总队通报称,腾讯公司举报,东莞一名男子向多个计算机信息系统传播病毒木马,锁定目标系统文件,利用微信支付勒索钱财后解锁。

获悉省厅网警总队下发线索后,东莞网警快速反应,立即启动网络安全事件应急处置预案,调集骨干警力,对涉案线索开展排查,于12月4日22时准确摸排出嫌疑人真实身份为罗某某(男,22岁,广东茂名人),其主要在我市东坑镇活动。12月5日凌晨,东莞网警联合东坑分局连夜展开抓捕行动,经十小时连续奋战,于15时将嫌疑人罗某某抓获。

经审讯,嫌疑人罗某某对其制作新型勒索病毒破坏计算机信息系统,利用微信支付勒索钱财的事实供认不讳。据其供述,2018年6月,罗某某自主研发出病毒“cheat”,用于盗取他人支付宝的账号密码,进而以转账方式盗取资金。

同时制作内含“cheat”木马病毒代码的某开发软件模块,在互联网上发布,任何通过该开发软件编写的应用软件均包含木马病毒代码,代码在后台自动运行,记录用户淘宝、支付宝等账号密码,以及键盘操作,上传至服务器。此外,嫌疑人通过执行命令对感染病毒的计算机除系统文件、执行类文件以外的所有文件进行加密,随后弹出包含解密字样和预置微信收款二维码的勒索界面,解密程序标题显示“你的电脑已被加密,请执行以下操作,扫一扫二维码,你需要支付110进行解密”。

目前,嫌疑人罗某某已被警方依法刑事拘留,案件正在进一步审理中。

结尾

640.jpg

国家互联网应急中心提醒广大用户及时采取如下措施进行防范:

1、安装并及时更新杀毒软件,目前市场主流反病毒软件都已支持针对该勒索病毒的防护与查杀。

2、不要轻易打开来源不明的软件,该勒索病毒通过易语言编写的程序传播,减少使用来源不明的软件可有效预防。

3、如已经感染勒索病毒,可使用相关解密工具尝试解密。目前,许多公司已经针对该勒索病毒开发了解密工具,包括火绒Bcrypt专用解密工具、腾讯电脑管家“文档守护者”、360安全卫士“360解密大师”等。

附:解密工具

火绒Bcrypt专用解密工具

腾讯电脑管家“文档守护者”

360安全卫士“360解密大师”

4、已感染勒索病毒的用户,在清除病毒后,尽快修改淘宝、天猫、支付宝、QQ等敏感平台的密码。

5、定期在不同的存储介质上备份计算机中的重要文件。

*部分摘自火绒安全实验室《“微信支付”勒索病毒制造者被锁定 传播、危害和疫情终极解密》

欢迎关注本专栏:灰产圈

创始人:灰产哥