"微信支付"勒索病毒製造者被鎖定 傳播、危害和疫情終極解密

https://www.cnbeta.com/articles/tech/794851.htm

12月1日，首個要求"微信支付"贖金的勒索病毒在國內爆發，根據"火絨威脅情報系統"監測和評估，截至4日晚，該病毒至少感染了10萬臺電腦，不光鎖死電腦檔案，還竊取了數萬條淘寶、支付寶等平臺的使用者密碼等資訊。

根據火絨團隊的分析、溯源，該病毒使用"供應鏈汙染"的方式傳播。該病毒首先通過相關論壇，植入被大量開發者使用的"易語言"程式設計程式，進而植入他們編寫的各種軟體產品，所有使用這些軟體產品的電腦都可能被感染。活躍的染毒軟體超過50款，其中多數是"薅羊毛"類灰色軟體。

圖：部分被感染軟體

火絨團隊發現，病毒製造者利用豆瓣等平臺當作下發指令的C&C伺服器。火絨團隊通過逆向分析病毒的下發指令，成功解密出其中2臺病毒伺服器，發現大量被病毒竊取的使用者個人資訊。僅1臺用於儲存資料的病毒伺服器，就存放了竊取來的淘寶、支付寶等賬戶密碼兩萬餘條。

圖：被盜取的登入資訊資料統計資訊

此外，該病毒還將受害電腦所有安裝的軟體進行統計和資訊回傳，通過對資料的分析發現，多數受害者沒有安裝安全軟體。

經過進一步分析，火絨團隊發現所有相關資訊都指向同一主體--姓名（羅**）、手機（1********45）、QQ（1*****86）、旺旺賬號名（l****96）、郵箱（29*****@qq.com）。火絨已將上述個人資訊，和被竊取的受害使用者支付寶密碼等資訊，一併交給警方。

12月1日該病毒爆發後，"火絨安全軟體"當天升級查殺，火絨團隊連夜製作瞭解密工具。隨後，360、騰訊等廠商也升級產品，併發布各自的解密工具。廣大使用者無需擔心，使用這些安全軟體即可查殺該病毒，已經被感染使用者，可以使用這些解密工具還原被鎖死的檔案。如果金鑰檔案被刪除，也可聯絡火絨團隊嘗試解密。

火絨團隊的分析表明，微信支付、支付寶和豆瓣等平臺，均與該病毒的傳播和作惡沒有直接關係，也沒有發現有系統漏洞被利用。微信在12月1號當天關閉了勒索贖金的賬號；豆瓣12月4號刪除了病毒下發指令的頁面，控制了病毒的進一步傳播。

附詳細分析報告

資料分析

火絨前期報告中寫道，Bcrypt勒索病毒通過供應鏈汙染的方式正在進行大範圍傳播，病毒會藉助被感染的易語言編譯環境為跳板，之後病毒會通過從被感染環境編譯出的易語言程式在網際網路中大範圍擴散。通過火絨近期對感染資料的追蹤，我們整理出了大量受影響的易語言程式。此類受影響的易語言程式眾多，其中還包含有一些易語言程式下載平臺（如：萬軟平臺、賺客吧等）。易語言開發人員開發環境被感染後，編譯出帶毒的易語言程式，再上傳到各大程式下載平臺上供使用者下載，從而使病毒在更廣的範圍內進行傳播，請使用過類似易語言程式的使用者及易語言相關開發人員下載火絨安全軟體進行自查。受影響最多的易語言程式，如下圖所示：

受影響的易語言程式

上述帶毒的易語言軟體都會成為病毒作者通過C&C網址連結操控的下載器病毒，從而下載執行其他惡意程式碼。被下載的惡意程式多為"白加黑"惡意病毒，前期報告中僅對感染量較大的libcef.dll病毒模組進行了分析，但此類病毒模組名種類其實還有很多。經過火絨的分析整理，可以直觀顯示病毒利用不同模組名執行惡意行為的相關情況。由於很多病毒檔名不具有實際意義，統計時以pdb名稱為準，如：AutoinitApp_x64.pdb.dll。此類病毒模組名，如下圖所示：

病毒模組名列表

各個病毒模組名所佔感染終端數量佔比，如下圖所示：

各個病毒模組名所佔感染終端數量佔比圖

上述病毒模組包含有多種不同的病毒惡意行為，如：勒索加密、盜取使用者賬戶登入資訊等。通過火絨對病毒伺服器資料進行分析整理，病毒作者會收集以下幾類資訊，且每類資訊與終端ID一一對應：

1.終端ID

2.系統版本資訊、當前系統登入使用者名稱、系統登入時間

3.CPU型號

4.螢幕解析度

5.IP及所屬運營商資訊

6.軟體安裝資訊

7.安全軟體程序資訊

8.網購賬戶登入資訊、郵箱登入資訊、QQ號登入資訊、網盤登入資訊等

截至目前，病毒作者共盜取登入資訊共計22442條。相關資料統計分析後，如下圖所示：

被盜取得登入資訊資料統計資訊

溯源分析

根據前期報告中寫道，病毒程式碼中的github連結（hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt），我們找到了病毒作者的github主頁（hxxps://github.com/qq*6/ja*et），從中發現了病毒作者的提交記錄。如下圖所示：

病毒作者提交資訊

在提交記錄中，我們切換到"d1889a4a0ceb7554982d7a924ecebe23200da94"提交記錄中，我們發現在本次提交中有一個名為"new 1 - 副本.txt"的BMP圖片檔案。圖片內容，如下圖所示：

圖片檔案內容

如上圖紅框內程式碼，此時疑似病毒作者正在除錯螢幕擷取相關病毒功能。在工作列中紅框所示專案，我們可以看到病毒相關的一些工程正在被編輯，並得到一個疑似病毒作者的姓名，通過該姓名我們找到了相應的百度知道首頁（hxxps://zhidao.baidu.com/question/11*0859）。如下圖所示：

百度知道首頁

該百度知道頁面中，我們找到了兩款與該作者相關的軟體："lsy資源助手"和"LSY經典鬧鈴v1.1"，這兩個軟體包含有作者的QQ資訊和作者姓名的縮寫（Mr.l.s.y）。"LSY經典鬧鈴v1.1"由於未知原因無法執行，"LSY經典鬧鈴v1.1"相關資料資訊，如下圖所示：

"LSY經典鬧鈴v1.1"相關資料資訊

"lsy資源助手"執行截圖，如下圖所示：

"lsy資源助手"執行截圖

在上述字串資訊中，我們可以看到阿里旺旺賬號名l******6，其中lsy剛好符合"羅**"的漢語拼音縮寫。通過我們搜尋阿里旺旺使用者名稱，我們找到相關使用者資訊，發現該賬戶確實與2*********@qq.com相關QQ號存在聯絡。相關阿里旺旺賬戶資訊，如下圖所示：

賬戶資訊

根據火絨截獲的病毒樣本，可以發現其中一個惡意URL "http://www.my***********.top/adcheatReserved/gx.html"，通過查詢https://whois.icann.org/zh/lookup?name=www.my***********.top進行域名反查。我們獲得了更多域名註冊者的資訊，如下圖所示：

病毒作者相關資訊

我們發現，在前面溯源中找到的QQ郵箱（1*******86）和手機號（17*******45）同時在上述資訊中出現。我們再以"LSY經典鬧鈴v1.1"軟體中出現的另一個QQ郵箱號"29*****@qq.com"作為線索，在支付寶使用"忘記密碼"方式獲得相關手機號，對比前文中出現的手機號，也有極高的相似度。相關資訊，如下圖所示：

密碼找回頁面資訊

另外，在之前對Bcrypt病毒家族樣本的分析過程中，曾多次在病毒伺服器資料庫密碼以及解密程式碼等處出現19*****7的數字序列，不排除該數字序列為病毒作者生日的可能性。

綜上所述，上述資訊均指向同一個主體，相關資訊如下：

姓名：羅**

QQ號：1*******86

手機號：1********45

生日（疑似）：19**年*月*7日

附錄

火絨收集到的部分受感染易語言程式名，如下圖所示：