AD
12月2日,黑奇士(id hqssima)报道,“微信赎金”(也称微信支付)病毒在国内爆发,这是全球首例利用微信支付索取赎金的勒索病毒。
目前该事件已有最新进展:有网络媒体爆出犯罪嫌疑人的详细信息,包括:姓名、生日、微信号、手机号、邮箱、豆瓣主页等,其详细程度已经足够让警方进行抓捕。(截至发稿时为止,警方尚未有病毒作者被捕的消息。但信息已经公布到这个程度,如果再抓不到人,那就……)
(公布嫌疑人信息的网页截图)
据网上的帖子称,“微信赎金”的作者罗某某,曾在重庆某电脑培训学校就读,其在百度问答里曾表示:“(在这个学校)第一个学期什么都不学……你一定会后悔”。
瑞星安全专家向黑奇士表示,病毒嫌疑人的登陆IP位于东莞。这个情况可以跟网帖中的“罗某疑似重庆人,在东莞打工”相互印证。
(嫌疑人的后台登陆记录)不要慌:勒索病毒只感染电脑,跟微信无关
自事件爆出以来,多数媒体均采用“微信赎金”、“微信支付病毒”等称呼该病毒,媒体的大量报道给普通网民带来了巨大困扰,尤其是对电脑知识了解不多的大爷大妈们,还以为这个病毒会通过微信传播,甚至出现了卸载微信的极端案例。
瑞星安全专家表示,这个勒索病毒基于电脑操作系统,不是手机病毒,且对微信、支付宝不会造成影响,网民可放心使用这些常见手机支付方式。另外,根据病毒编写水平、影响范围、病毒危害和解密难度等维度分析,该病毒在勒索病毒中的威胁等级只能排名2颗星,整体属于危害较小的水平。
专家称,该病毒之所以引起广泛关注,主要是因为在病毒作者勒索赎金时,没有使用黑客普遍采用的比特币等方式,而是明目张胆地使用微信支付。致使许多没有专业知识、没仔细阅读新闻,只看了新闻标题的普通用户产生误解。
病毒技术水平不高,定向传染,普通用户很少中毒
黑奇士拿到了瑞星公司的勒索病毒分析报告,报告指出:
“病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径‘供应链污染"
所谓“供应链污染”,指的是罗某某在易语言专业论坛上活跃,通过发帖、曝光等方式获取知名度,然后向论坛网友提供经过修改的易语言库。
由于该论坛在易语言开发者中具有一定知名度,当有开发者下载使用罗某提供的易语言模块时,其电脑就会被感染。因此中毒用户仅限于开发者范围,普通用户中毒机会较小。
黑奇士查询该论坛发现,客服在12月5日发布官方通告称,“(罗某)在分享源码中带有一个被修改过的精易模块,模块里面包含恶意代码,通过在线下载木马程序对电脑进行感染,被感染用户的电脑的易语言和精易模块会被修改并插入木马程序,经我们分析,这个木马程序主要是监控电脑的键盘记录,包括支付宝、天猫等平台的账号密码并上传到对方数据库”
通告称,将该用户的详细资料提供给警方,已报案处理。
密码放在公开博客网站 这个嫌疑人有点“傻”
瑞星病毒分析报告中指出,该病毒具有三大特点:
1、加密算法简单,被勒索文件可以完全还原。相比于国外流行的勒索使用对称非对称加密算法,该勒索病毒使用加密手法相对较弱。从中可以看出该病毒作者对加密算法掌握不深。(黑奇士注:所以把密钥放在了本地,可以让各家安全厂商轻易解密。这也跟病毒作者毕业于电脑培训学校的经历相互印证)
2、该病毒不会大范围爆发,感染范围可控。中毒者都是在不知情的情况下运行了被插入病毒代码的软件,没有利用任何漏洞进行传播,所以病毒受害者范围都会控制在使用病毒软件的范围内,不会对其他未使用带毒软件的用户造成任何影响。
这就说明该病毒不可能大规模、大范围的爆发。同时该病毒的易感人群为易语言爱好者,被植入病毒代码的软件大部分为黑灰产软件,对于普通人来说不用太担心。
3、公开博客中包含服务器密码,这个嫌疑人有点“傻”。
病毒嫌疑人先通过易语言论坛传播带有木马的模块,这些模块会每天去访问特定网站,等待激活指令(我怎么想起了电视剧《潜伏》),这些网站包含豆瓣、Github等5个网站。
在潜伏了将近2个月、积累了足够的感染用户之后,嫌疑人才向病毒发出指令,引导其爆发。给人一种“突然爆发、中毒用户”很多的假象。
瑞星分析指出,在豆瓣等公开博客网站中,包含了嫌疑人的服务器通用密码,专家使用这些密码,可以登陆该嫌疑人的微博、百度、360、爱奇艺、中关村(000931,股吧)在线、印象笔记等网站,通过这些网站也暴露了病毒作者的真实身份。
(嫌疑人的个人页面)
用四川话讲,这是个瓜娃子!用北京话说,这人四不四傻!
瑞星统计了潜在中毒者的地域分布,通过分析发现,几乎全国各地都有感染,排名靠前的有四川、河南和广东。
向“潜伏”的中毒电脑发布命令的豆瓣日志已删除,github上的C2地址也已被删除,估计是病毒作者所删。病毒作者持有的那个域名目前暂时不能解析,剩下两个被瑞星Sinkhole了,但病毒潜在的威胁仍然存在。
威胁存在于github和作者持有的域名上,那两个地址随时可能被病毒作者启用,投递其的恶意病毒,此次投递的是可解密的勒索病毒,下次可能就是升级版的不可解密的勒索病毒。
目前,瑞星公司所有产品均可对其进行拦截。
本文首发于微信公众号:黑奇士。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
