鈦媒體 TMTPost.com
鈦媒體註:近日,一種新型的勒索病毒在國內爆發。多名用戶稱,其電腦感染一款使用手機掃碼支付作為贖金支付渠道的病毒。微信、支付寶等紛紛中招。那麼這場勒索病毒的爆發始末是什麼?下文作者史中,來源於微信公眾號淺黑科技(qianheikeji),原標題《「微信勒索病毒」全紀實:打擾了,我只是病毒界的楊超越》,鈦媒體獲授權轉載,略經鈦媒體編輯。
你要相信,這世界上總有那麼一種人,自己沒想火,卻一夜之間大火。比如參加選秀就是為了2000塊錢+盒飯的楊超越。病毒的世界亦是如此。
前兩天,有一個病毒用一種混不吝的姿勢衝進了所有人的視野,衝進了百度的熱搜榜首。它的名字叫「微信支付勒索病毒」。微信慌忙出來發聲明。
奇葩的是,就在第二天,又有一個病毒用同樣混不吝的姿勢衝到了百度熱搜榜首。它的名字叫「支付寶病毒」。支付寶又跑出來發聲明。
最奇葩的是,吃瓜群眾研究了一圈兒,發現「微信病毒」和「支付寶病毒」竟然是同一個病毒。連支付寶都懵了,發了個微博求助。
如果按照這種命名規則,這個病毒實際上應該叫:「微信支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒」。
然而,就在大家不知所措的時候,有的群眾已經迅雷不及掩耳盜鈴地扒出了病毒作者的姓名、生日、手機號等等全部身份信息。他居然是一個黏在電腦前面每天 LOL 的1996年小鮮肉。說實話,中哥自認見多識廣,看到這些劇情都慌了。
為了搞清事實的真相,我專門去拜訪了一位好盆友,他就是360安全衛士的安全專家王亮。聽亮哥講完故事的來龍去脈,整個過程我眼睛都沒眨。這時我才確認,這個瓜比想像中狗血一百倍。
這是一個《有中國特色的勒索故事》。
究竟誰感染了「微信勒索病毒」
——羊毛黨的起義
2018年12月1號,這天是周六,北京籠罩在霧霾中。亮哥在家,通過電腦監控著世界各地的病毒動向。突然,「嗶嗶嗶嗶嗶嗶」後臺的申訴系統彈出幾十封告警。
這個系統相當於用戶的「求救信號」。一般情況下,它是很安靜的,除非用戶覺得有些重大病毒被安全衛士給漏掉了,才會拼命向專家團隊發射「求救信號」。
亮哥一看,事有蹊蹺。這幾十封郵件,全都在投訴一個問題——自己電腦上的文件被莫名其妙的病毒給莫名其妙地給加密了,更雷的是,居然彈出一個微信收款碼,說是只要110塊,就能幫你解密文件。
推薦使用微信支付,講究。看到這個效果,亮哥有點凌亂。他凌亂在兩點:
第一、用微信支付碼做勒索,跟在派出所裡搶劫沒啥區別。警察一查微信的實名認證就能破案,這屬於典型的「自殺式勒索」,說明作者智商捉急。
第二、林子大了什麼鳥都有。雖然用微信、支付寶作為收款途徑的勒索病毒,亮哥也不是沒見過,但那些病毒一般都製作得非常劣質,還沒等傳播呢,就被各種殺軟直接秒掉。這個病毒居然不知為何能「逃」過安全衛士的監控,說明作者相當厲害。
那麼問題來了——這不科學啊,病毒的作者究竟是聰明還是傻呢?按照規矩,亮哥團隊會挨個聯繫用戶,詢問他們究竟發生了什麼,然後嘗試遠程幫助他們排查電腦的問題。
查了一圈,亮哥更困惑了。幾乎所有人電腦裡都安裝了型號不一的「薅羊毛程序」和「外掛程序」,而這些薅羊毛程序明明被殺毒軟體報毒了,卻又被用戶強制拉回了信任白名單裡。
比如像這樣薅京東羊毛的:
還有這樣的:
還有這樣輔助拼多多發貨的:
把薅羊毛和外掛程序拿過來一看,果然就是他們,偷偷從網上下載了帶有勒索功能的病毒木馬,也就是那個「微信支付勒索病毒」。
問了一圈,亮哥才明白,原來這些薅羊毛程序,本來就是天天在法律的邊緣瘋狂試探,殺毒軟體經常會把它們判斷為病毒,於是羊毛黨們下載了薅羊毛程序,第一件事就是順手把它們拉進白名單裡,告訴殺軟:「自家兄弟,有話好說。」
這回可好,帶著勒索病毒的薅羊毛程序,也被歸為自家兄弟,殺毒軟體被用戶「強制旁觀」,文件都被加密了。(當然,很多帶病毒的薅羊毛程序並沒有被用戶拉進白名單,它們都順理成章地被殺毒軟體幹掉了,電腦也不會被加密勒索,這些不在今天的故事裡。)文件被加密了之後什麼樣呢?就是下面這樣:
亮哥給我截了個圖,展示的就是文件被加密以後,所有的 txt、docx、jpg 都打不開,打開也是亂碼。
你知道病毒作者有多努力嗎?
說了半天,「羊毛黨的起義」原來是一場大型烏龍,是他們自己把病毒放行的。但事情已經發生了,現在重要的問題在於:已經被病毒加密的電腦,有沒有辦法搶救回來呢?
接下來我們來研究一下這個病毒。注意,這個病毒是個「勒索病毒」,勒索病毒是有尊嚴的。
一般情況下,勒索病毒會調用 Windows 內部的加密機制,三行代碼搞定,鎖死你電腦上的文件,再厲害的密碼專家都解不開。
這個「微信支付勒索病毒」就厲害了,作者自己寫了一個幾百行的代碼,仿佛用盡了畢生的氣力來書寫一個你永世都難以解開的謎題。
然鵝,這個加密程序卻用了作者自創的「民科加密法」,只需要用工具稍微一算就能解開。哭笑不得的亮哥定睛一看,不對!
這個加密算法,運行一次是加密的效果。如果運行兩次,也就是加密的基礎上再加密,代碼又會變成和加密之前一模一樣。就像一枚硬幣,翻一次看到背面,翻兩次還是正面朝上。(注意,實現反轉的話,病毒程序的代碼要做微調,小白勿試,後果自負。)
已經生無可戀的亮哥又定睛一看,還是不對。
加密之後的秘鑰,就靜悄悄地躺在硬碟上。這大概就像:你用一把鎖把人家的家門給鎖上,然後把鑰匙放在門下的腳墊裡。然後大搖大擺地說,打錢!
Key文件就存在硬碟裡。
怎麼說呢,病毒代碼的每一行,都能透出作者的不甘平庸,但是最終的效果只能證明,作者盡力了。
12月1號晚上,亮哥把病毒分析報告傳給一位同事,讓他去開發一套「專殺工具」。工具當然不太複雜,同事熬了一下夜,第二天早晨就把專殺工具提交上線,這個不在話下。
再回頭看亮哥,既然知道病毒造成的一切破壞都有辦法還原,基本就放心了。接下來,他準備帶著兄弟們去追查一下這個病毒究竟是何方神聖。
微信、支付寶以及十大網際網路公司躺槍
病毒界和我們人類世界一樣,也能分出三六九等。
如果病毒作者買很多伺服器,然後把病毒放在裡面,誘騙其他電腦來訪問,那麼這就屬於病毒界的王思聰。如果病毒作者只是黑了人家的伺服器,然後偷偷地「借用」人家的伺服器來傳播病毒,那這就是病毒界的屌絲。
今天這位「微信勒索病毒」屬於哪種呢?它稱得上是屌絲中的戰鬥絲。直接說原理。把大象裝冰箱分三步,這套病毒的工作原理,也分三步:
第一步:用戶下載了薅羊毛程序之後,這個程序會偷偷「逛豆瓣」。
是的,你沒看錯,這個薅羊毛程序就是會訪問豆瓣。當然它並不是文藝小清新,而是從豆瓣的一個網頁裡,讀取攻擊指令。
就是這個網頁了,原貼已被刪。
本來被用來寫影評的地方,寫了這麼一堆亂碼,程序讀了它,就接受到了一個指令,去哪裡下載什麼東西。
第二步:「逛豆瓣」之後,它會去「逛QQ空間」。
豆瓣頁面裡的指令,指向一個 QQ空間,在這個QQ空間裡,有張小女孩的圖片。這不是一個普通的小女孩,你看,它的解析度只有530*456,但是它的大小卻有6.98M。
因為在這個圖片背後,貼著一個「下載器」,可以訪問指定的地址下載另一個程序。
(把這張圖片解壓之後,能解出這麼一堆文件)
這個指定的地址是哪裡呢?還是豆瓣。去豆瓣幹什麼呢?還是跳到QQ空間找另一個「下載器」。就這麼循環了三次,下載了一堆形態各異的下載器。終於,最後一個下載器把劇情推進到了第三步。
第三步:下載勒索病毒。
最後一個下載器,終於從QQ空間裡拿回了兩樣東西:這第一樣我們等下再說,這第二樣就是勒索病毒本尊。後面的故事就是把用戶電腦上的文件加密,然後彈出微信支付二維碼,大家都知道了。
以防你沒明白,中哥畫張圖。簡單來說就是薅羊毛程序下載了一串下載器,最後一個下載器下載了勒索病毒。
你看,整個勒索流程下來。它把惡意指令藏到豆瓣,把惡意程序藏到 QQ 空間,自己不僅連個伺服器都不用買,而且連伺服器都不用偷。直接利用豆瓣和QQ的免費服務,黑客攻擊的成本是:零。
聽到這,中哥已經跪服了。這個病毒的作者肯定是個勤儉持家的好孩子。每勒索一票賺110塊,都是淨利潤啊。
主線劇情進行到這,卻又出現了一個支線劇情。
那就是我們剛才賣的關子,最後一個下載器從 QQ 空間拿回了兩樣東西,除了勒索病毒,另一個是什麼呢?
沒錯,就是用來記錄用戶密碼的程序。
問:它都可以用來記錄什麼密碼呢?
答:支付寶、京東、網易163郵箱、微博、百度雲盤、QQ網頁版、天貓、旺旺、酷狗、迅雷。
其中,支付寶的安全做得最好。一般情況下,用戶在支付寶頁面輸入密碼的時候,支付寶會探測有沒有記錄程序在偷偷記錄密碼。所以,為了繞過支付寶的檢查,黑客在支付寶的網頁之上生成了一個一模一樣的窗口,蓋住原本的密碼框,騙用戶輸入密碼。
這就是為什麼到了第二天,這個病毒又被稱為「支付寶病毒」的原因了。
至此,微信和支付寶躺槍的過程完畢。這個病毒之所以被叫做「微信勒索病毒」,是因為它通過微信支付勒索錢財。這個病毒之所以被叫做「支付寶病毒」,是因為它試圖盜取用戶的支付寶密碼。
然而,平胸而論,這個病毒並沒有隻盜取支付寶的密碼啊。如果它盜取誰的密碼就用誰命名的話,這個病毒應該叫做:
「支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒」
那麼這個病毒究竟盜取了多少人的帳號和密碼呢?賣個關子,最後會揭曉。
我們繼續順著病毒追查。既然已經得知這麼多信息,接下來就可以試著尋找病毒作者究竟是誰了。
病毒作者浮出水面
事到如今,你已經能體會這位病毒作者童鞋的風格了:雖然他破綻百出,但只要你留心,總能找到更奇葩的破綻。
剛才我們說過。那個薅羊毛程序並不是把「微信勒索病毒」下載下來,而是在之前,下載了一些「下載器」,再由下載器把「勒索病毒」下載下來。
好的,奇葩的破綻就出在這些「下載器」上。
為了嚴謹,多說一句。分析了一下在真正病毒被下載之前的五個「下載器」,亮哥發現,這些下載器的代碼風格和最後的病毒是一致的。這證明,下載器和最終病毒的作者是一個人。
在其中一個下載器裡,作者竟然留下了自己的 GitHub 地址,而這個地址可就厲害了,用戶名直接是:「qq179074XXXX」。我讀書少,但怎麼看這都是一個QQ號吧。而在頁面裡他還留下了一串字符:LSY1996XXXX。我讀書少,但這這分明就是一個名字的縮寫和生日好不好。
不用你們動手,中哥替你們搜了一下這個QQ號。1996年,還是個白羊座。聽說白羊座做事衝動,星象大師誠不我欺啊。亮哥說,他剛開始搜到這個QQ號的時候,對方的籤名還寫著:「收徒,老溼傅帶你寫外掛。2300包教包會!」(當然現在已經改了)
而有一位叫做「雕哥」的熱心網友,好奇加了他的QQ,他居然還沒意識到發生了什麼,要繼續去打LOL。
當然,即使是一個病毒作者,中哥也並不提倡人肉他。不過實際上,這些信息被公開之後,廣大網友已經把這位小哥的具體姓名人肉到了。具體的信息這裡就不寫了,我們暫且把他稱為 LSY 吧。
至此,黑客在安全人員眼中已經遭遇了史詩級的潰敗。說到這,你一定想知道,這位黑客老溼傅究竟賺了多少錢。當然,這個帳號具體的收款詳情,只有微信支付才掌握,他們並不會公布。但亮哥回憶了一個有趣的細節。
最開始,亮哥接到「報警」之後,確實有一個受害者說,他已經掃碼支付了110塊,然後,就沒有然後了。
經過逆向這個病毒程序之後,亮哥發現,程序根本就沒那麼智能,這邊付過去110塊,那邊的 LSY 根本不知道是誰付的錢,又怎麼能幫你解鎖呢。而在亮哥嘗試掃那個微信支付碼的時候,這個碼已經失效,因為被舉報了。
怎麼說呢,很可能那個付款的受害者,是第一個交贖金的,也是最後一個能交進去贖金的。這個故事告訴我們:下次遇到微信支付勒索,交智商稅要趁早。磨蹭半個小時,想送錢都送不進去了。
故事講到這裡,還有一個最大的疑團沒有解開,那就是:LSY究竟是如何把那一整套「下載病毒的指令」塞進幾十款薅羊毛程序裡的呢?
你可能猜不到,解開這個謎團的同時,我們順便又打開了一個新世界的大門。
神秘的組織:易語言
一個神奇的事實浮出水面:
所有傳播這個勒索病毒的薅羊毛、外掛程序,都有一個驚人的特點,那就是——他們都是用「易語言」編寫的。
你可能會好奇?我聽說過 C語言,PHP,Java,啥叫易語言?實話實說,中哥在一天以前,也不知道什麼是易語言。給你兩張易語言編程界面你體會一下。
你應該有感覺了。易語言是一個純中文的編程界面,對於廣大沒有計算機背景,但是卻熱愛編程的人士「相當友好」。
如果說 C 語言是任天堂的紅白機的話,那麼易語言就是——小霸王學習機。
可能你猜不到,易語言在中國有著巨大的使用群體。
而在易語言的粉絲中,有一個頗為有名的論壇——精易論壇。
給你看下,精易論壇的感覺。
我為什麼要花這麼多時間來說易語言呢?因為,整場「微信勒索病毒」事件,其實都只發生在易語言的世界裡。事情是這樣的:
1、LSY 是一個狂熱的易語言愛好者,曾經用易語言做了一些有用的小工具,發在了精易論壇上。
2、2018年早些時候,LSY 動了歪心,他發布了一個帶有病毒的小工具,但是很快被細心的網友發現了,回帖說你這個裡面有病毒啊。LSY 決定回去再苦練幾個月。
3、在2018年11月15號,LSY 重出江湖,在精易論壇發表了一個新的小工具「小型軟體在線更新方法」。這是一個易語言編程的插件。而這個插件裡面,就被 LSY 植入了「下載器」的惡意代碼。
這個惡意代碼可就厲害了——它感染的是易語言的編程程序。
也就是說,一旦下載過這個插件,用它編出來的程序,都是偷偷帶有下載器功能的,軟體作者並不知情。而這個下載器能用來下載什麼,就是 LSY 說了算了。
於是,LSY 通過感染「程式語言母體」的方式,讓母體編寫出來的一切程序都天然帶有病毒。就像那些可怕的基因疾病一樣,如果母親具有患病基因,那麼孩子也會天然帶有這種疾病。
於是,一場可怕的擴散就此開始。
一場華麗的當眾裸奔
這種攻擊母體的方法,在黑客界已經非常出名。甚至它還有一個名字,叫做「軟體供應鏈攻擊」。
這種攻擊非常有效,擴散起來非常迅速。但是,真正的成熟黑客,一般不會選用這種攻擊方式,原因是神馬呢?
沒錯,就是控制不住事態。
病毒幹的這些事,盜取信息、勒索,本來應該是低調進行的。這就像搶劫團夥,本來應該夜黑風高之時在僻靜的小胡同裡,堵住一個弱小的姑娘要錢。沒聽說過哪個搶劫團夥到王府井地鐵站,每人把守一個出口,站在安檢旁邊挨個要錢的。
但是,感染母體軟體之後,病毒作者是沒辦法控制其他人用這些母體編寫多少新程序出來的,病毒作者也沒辦法控制這些新編出來的帶毒軟體究竟會有多火,會有多少人使用。
這就像你打撞球的時候,把白球直接打進洞很容易但是用白球撞彩球進洞就更難控制準星,如果你能讓五顆球連續撞擊最後進洞,那你就是世界級選手了。
換句話說,就像一個小孩子扛起了火箭炮,他對接下來發生的事情根本無法控制。
這樣一看,一切就都明白了:
「微信勒索病毒」,本來就是 LSY 想要小範圍傳播的勒索軟體,於是根本都沒做什麼偽裝,還用了微信支付碼,估計在他心裡,預計這個病毒會感染幾十人,然後其中十個人付贖金,賺個一千多塊錢完事。
沒想到,中國人民對於薅羊毛這件事情過於熱衷,導致幾萬人使用了帶毒的薅羊毛程序,超出了他的預料,直接驚動了中國幾大殺毒軟體。
事實也證明,病毒從開始傳播到各大安全廠商剿滅,總共用了半天時間。但LSY的蠢萌和法律意識不足,生生把一個低調的勒索病毒變成了天安門廣場大型裸奔現場。
就這樣,他從一個默默收徒的小黑客,搖身一變成了兩天之內用兩種姿勢連續攻佔百度搜索頭條的男人。
事情曝光之後,LSY 的豆瓣頁面上的最後一條攻擊代碼也被他換掉了,只有一行字:sorry!---太年輕了!
看到這裡,一種複雜的心情湧上我心頭。年輕總會犯錯誤,但有時我們為年輕付出的代價,也許過於沉重。
以上一切信息,亮哥都在第一時間同步給了警方。從公開信息看,各大安全廠商也都把自己掌握的信息交給了警方。
就在2018年12月6日晚上,微博「平安東莞」發布了一條消息。沒錯,LSY 落網了。
根據警方的信息,羅某某涉嫌利用自製病毒木馬入侵用戶計算機,非法獲取淘寶、支付寶、百度網盤、郵箱等各類用戶帳號、密碼數據約5萬餘條,全網已有超過10萬臺計算機被感染。
亮哥給我講的故事,到這裡就告一段落了。
但是回望整個事件,我發現它的每一個環節,都只能發生在中國。
從只有中國人才用的「小霸王學習機」易語言,到中國特色的薅羊毛軟體,到通過豆瓣和QQ空間進行病毒投放,到微信支付收勒索款,再到這個22歲的青年所思考的一切。
在川流的忙碌人群背後,有一個龐大的群體,大多數時候他們沉默著,在角落裡按照自己的「規則」生存著。
他們之中,有的人賺盡榮華,坐擁香車美女;他們之中,也有人四處掙扎,幻想致富良方。
偶爾,他們中的一員被甩到輿論的漩渦中心,被人嬉笑品評,然後黯然退場。他們,像是中國的影子。(本文僅代表作者觀點)
2018 T-EDGE 全球創新大會
5000+T-EDGE前沿先鋒出席
100+國內外前沿領袖深度討論
30+日韓以印等國際項目連結全球
邀請你一起重建科技巴別塔
👇識別下方小程序或點擊閱讀原文👇
限時優惠票熱賣中,狂戳購票!