12 月 4 日,中國一家信息安全公司火絨安全實驗室發布消息稱,12 月 1 日爆發的「微信支付」勒索病毒仍在快速傳播,被感染的電腦數量越來越多。
火絨是一家成立於 2011 年的信息安全公司,按照他們自己的介紹,公司專注於終端安全防護技術和產品的研發(PC、手機、Pad、可穿戴設備、物聯網等),核心團隊成員曾任職於瑞星研發部門。
所謂的「微信支付」勒索病毒,要求受害者以微信掃碼的方式支付贖金。病毒感染系統後,會加密 txt、office 文檔等有價值數據(與其他勒索病毒不同的是,沒有修改原文件後綴名),並在桌面釋放一個「你的電腦文件已被加密,點此解密」的快捷方式。
用戶點擊該快捷方式後,桌面會彈出解密教程和收款二維碼,並強迫受害者通過微信轉帳繳付解密酬金。
12 月 1 日晚上,騰訊電腦管家團隊回應,該勒索病毒的收款二維碼已被列入異常名單。騰訊連夜發布了針對該病毒的解密工具測試版。電腦管家團隊表示,該勒索病毒的加密機制已被破解,未安裝騰訊電腦管家的用戶如果中招,可以下載使用該破解工具解密文檔。
但問題在於,解密工具只是用戶中毒後的補救措施,它並不能讓病毒停止傳播。該病毒不僅會加密用戶文件,還會竊取用戶的各類帳戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163 郵箱、百度雲盤、京東、QQ 等。
根據火絨安全團隊提供的監測數據,該病毒的每日感染臺數從 12 月開始激增,現在最高已經達到了每天一萬多臺。截止到 12 月 3 日,已有超過兩萬用戶感染該病毒,並且被感染電腦數量還在增長。
來源:火絨安全團隊
火絨安全團隊撰文稱,該病毒之所以可以在短時間內進行大範圍傳播,是因為該病毒是利用汙染供應鏈的方式進行傳播的。
病毒作者首先攻擊軟體開發者的電腦,感染其用以編程的「易語言」中的一個模塊,導致開發者所有使用「易語言」編程的軟體均攜帶該勒索病毒。廣大用戶下載這些「帶毒」軟體後,就會感染該勒索病毒。整個傳播過程很簡單,但汙染「易語言」後再感染軟體的方式卻比較罕見。
騰訊電腦管家團隊稱,該勒索病毒的傳播源是一款叫「帳號操作 V3.1」的易語言軟體,其主要功能是可以直接登錄多個 QQ 帳號實現切換管理。
根據騰訊電腦管家團隊的描述,病毒傳播者使用的「帳號操作 V3.1」工具正常情況下會直接被殺毒軟體查殺,所以該軟體的使用者往往會無視殺毒軟體的攔截提示,所以勒索病毒對黑灰產業從業者的定向傳播十分奏效。
供應鏈汙染流程 來源:火絨安全團隊
此外,病毒製作者利用豆瓣等平臺當作下發指令的 C&C 伺服器,火絨安全解密下發的指令後獲取其中一個病毒後臺伺服器,發現病毒作者已秘密收取數萬條淘寶、天貓等帳號信息,也就是說這些用戶信息正在洩露。
火絨建議被感染用戶,除了殺毒和解密被鎖死的文件外,應儘快修改淘寶、天貓、阿里旺旺、支付寶、163 郵箱、百度雲盤、京東、QQ 等帳戶的密碼。
騰訊 12 月 4 日回應稱,微信已第一時間對所涉勒索病毒作者帳戶進行封禁、收款二維碼予以緊急凍結。支付寶方面表示,將對此採取有針對性的防護,但目前未收到帳戶受影響的用戶反饋。
題圖/visualhunt