“微信支付”勒索病毒已破解,可能系國人新手開發
一款要求使用微信支付贖金的勒索病毒在近日大規模蔓延開來,相關訊息稱,截至12月3日,已有近2萬人感染該病毒。
該勒索病毒入侵使用者電腦後會對使用者檔案進行加密,使用者支付贖金才可解密。此外,病毒還會竊取記錄使用者的鍵盤行為,竊取使用者在各平臺的賬號密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ等。
不過,此前流行的勒索病毒多是通過數字貨幣支付贖金,而這款勒索病毒的支付方式竟然是微信支付。
目前,微信方面已經封殺了該病毒提供的付款二維碼。此外,多位安全領域專家對記者表示,該勒索病毒極有可能是國人開發,其加密方式相較於其他勒索病毒破解較為簡單,傳播量有限,目前國內主流的安全軟體已紛紛推出相應的解密工具。
病毒通過外掛軟體等傳播,範圍可控
2017年,一款名為WannaCry的勒索病毒利用Windows系統漏洞在全球蔓延,病毒要求支付價值等同於300美元的比特幣才可解密所有被加密檔案。
相關資料顯示,全球有超過23萬臺計算機被病毒感染,有超過10萬家組織及機構被攻陷,我國的中石油、公安內網及不少大學的校園網也紛紛中招。
與WannaCry相比,此次在國內蔓延的勒索病毒的傳播量及破解難度均不及前者。
360網際網路安全中心安全研究員王亮對記者表示,該勒索病毒主要通過捆綁在外掛輔助軟體、刷量軟體等第三方開發的應用程式傳播,通過QQ群、網盤分享等形式傳送給受害者。
當用戶執行相關外掛軟體之後,軟體內建的木馬下載器就會安裝到使用者電腦中,並下載惡意程式到使用者電腦。病毒並非在使用者下載軟體的第一時間就開始進行感染。王亮稱,病毒在被下載至使用者電腦後,潛伏了較長時間,直至11月底才開始大規模感染。
不過,外掛軟體開發者並非病毒的製作者。王亮稱,該病毒最早釋出於某開發者論壇,當軟體開發者使用了含有病毒的程式碼或模組之後,其編譯出的程式均會攜帶病毒。
火絨安全團隊同樣解釋稱,該病毒的特點是利用“供應鏈汙染”的方式進行傳播,在感染編譯者的編譯環境後,再通過編譯者編譯的程式傳播到外界,所以感染量不及WannaCry。
WannaCry主要是利用了Windows系統的“永恆之藍”漏洞進行傳播,屬於計算機系統的自有漏洞,理論上只要電腦聯網就存在被感染的可能,故波及面更廣。
病毒可能系國人新手開發
通過對病毒進行分析溯源,火絨安全發現,該病毒主要針對的是使用“易語言”程式設計的開發者,這是一種以中文為程式程式碼的程式語言。加之勒索介面為中文,並且使用微信二維碼支付贖金,所以病毒極有可能是國人開發。
此前,勒索病毒多是通過數字貨幣等方式收取贖金,匿名且不易追蹤,但此次竟然是使用微信二維碼收取贖金。
微信團隊迴應稱,已第一時間對所涉勒索病毒作者賬戶進行封禁、收款二維碼予以緊急凍結。微信使用者財產和賬戶安全將不受任何威脅。
同時,該病毒還會記錄使用者的鍵盤行為,竊取使用者在各平臺的賬號密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ等。
事發後,支付寶方面迴應稱,目前尚未收到受波及的支付寶賬戶反饋,並表示該病毒僅出現在PC端,建議使用者及時安裝防毒軟體查殺病毒。
此外,相對於此前的勒索病毒而言,此次國內散播的病毒在破解上也較為容易。
王亮對記者表示,一般勒索病毒會使用通用的加密演算法加密使用者檔案,使用“規範”的話,幾乎無法破解。目前多數安全軟體都能殺掉勒索病毒,但在破解上常常無能為力,被感染使用者只能通過支付贖金才能解密檔案。
但國內此次散播的病毒是製作者自行開發的一套演算法,“存在不少漏洞”,所以破解較為容易。目前國內主流的安全軟體均推出了自家的破解方案,被感染使用者可以自行下載解密。
王亮分析,病毒製作者很可能是個“新手”,以為只是在論壇小規模散播,根本沒想到會蔓延到現在的地步。
目前,攜帶該病毒的部分外掛軟體仍在網際網路上傳播,他建議使用者不要輕易下載來源不明的軟體,在下載時建議使用防毒軟體進行查毒。
同時,應定期更新系統及軟體,修補漏洞。針對重要檔案做到定期備份,以確保被感染後損失可以降到最低。
拓天速貸
文章源自網際網路