12月1日,首個要求"微信支付"贖金的勒索病毒在國內爆發,根據"火絨威脅情報系統"監測和評估,截至4日晚,該病毒至少感染了10萬臺電腦,不光鎖死電腦文件,還竊取了數萬條淘寶、支付寶等平臺的用戶密碼等信息。
根據火絨團隊的分析、溯源,該病毒使用"供應鏈汙染"的方式傳播。該病毒首先通過相關論壇,植入被大量開發者使用的"易語言"編程程序,進而植入他們編寫的各種軟件產品,所有使用這些軟件產品的電腦都可能被感染。活躍的染毒軟件超過50款,其中多數是"薅羊毛"類灰色軟件。
圖:部分被感染軟件
火絨團隊發現,病毒製造者利用豆瓣等平臺當作下發指令的C&C服務器。火絨團隊通過逆向分析病毒的下發指令,成功解密出其中2臺病毒服務器,發現大量被病毒竊取的用戶個人信息。僅1臺用於存儲數據的病毒服務器,就存放了竊取來的淘寶、支付寶等賬戶密碼兩萬餘條。
圖:被盜取的登錄信息數據統計信息
此外,該病毒還將受害電腦所有安裝的軟件進行統計和信息回傳,通過對數據的分析發現,多數受害者沒有安裝安全軟件。
經過進一步分析,火絨團隊發現所有相關信息都指向同一主體--姓名(羅**)、手機(1********45)、QQ(1*****86)、旺旺賬號名(l****96)、郵箱(29*****@qq.com)。火絨已將上述個人信息,和被竊取的受害用戶支付寶密碼等信息,一併交給警方。
12月1日該病毒爆發後,"火絨安全軟件"當天升級查殺,火絨團隊連夜製作瞭解密工具。隨後,360、騰訊等廠商也升級產品,併發布各自的解密工具。廣大用戶無需擔心,使用這些安全軟件即可查殺該病毒,已經被感染用戶,可以使用這些解密工具還原被鎖死的文件。如果密鑰文件被刪除,也可聯繫火絨團隊嘗試解密。
火絨團隊的分析表明,微信支付、支付寶和豆瓣等平臺,均與該病毒的傳播和作惡沒有直接關係,也沒有發現有系統漏洞被利用。微信在12月1號當天關閉了勒索贖金的賬號;豆瓣12月4號刪除了病毒下發指令的頁面,控制了病毒的進一步傳播。
閱讀更多 火絨安全實驗室 的文章
