病毒感染总量图,截至3日总量已达23081台。 图/火绒实验室新京报讯(见习记者 马瑾倩)一款通过微信付款码索要赎金的“中式勒索”病毒突然出现。据火绒实验室报告显示,截至昨日(12月3日)下午,已感染电脑数量达23081台,且在持续增长。火绒团队告诉记者,该勒索病毒早在10月份就已经潜入用户电脑,今早其服务器密码已修改,无法登录监控。
针对勒索病毒,腾讯回应称,微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信用户财产和账户安全不受任何威胁。
无法勒索后,病毒将盗取支付宝等账户密码
与以往勒索病毒不同的是,这一次攻击并没有修改原文件后缀,且不收取比特币,而是通过私服相关工具进行传播,对电脑上的doc、jpg等常用文件实行简易加密之后,要求受害者扫描弹出的微信二维码支付赎金110元,才可获取解密钥匙。
病毒勒索提示窗口。图/火绒实验室火绒工作人员告诉记者,被封锁付款码后,病毒将不会再进行其他方式的勒索,“以往的勒索病毒一般会留虚拟货币链接 目的是躲避追踪。他留了微信支付已经很危险了。别的支付方式可以说都很危险。”
火绒实验室报告称,虽无法索要赎金,病毒还是能将用户文件加密锁死。更危险的是,病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。被感染用户除了杀毒和解密被锁死的文件外,应尽快修改上述平台密码。
病毒早在10月份已经潜入
针对近日病毒感染用户激增的情况,火绒工作人员认为,该勒索病毒早在10月份就已经潜入用户电脑,病毒作者可以远程进行下载病毒或其他破坏行为,由于最近才开始进行勒索,造成短时间内增长迅速假象。
火绒工作人员表示,其团队在登录病毒作者使用的其中一台服务器后发现,通过该供应链传播下载的病毒功能模块:至少包含有勒索病毒、盗号木马、色情播放软件等。
该病毒利用“供应链污染”的方式进行传播,也就是感染编译者的编译环境,导致编译出的程序全都带毒,再传播到用户电脑中。
勒索病毒实为“简约加密”
据中毒被勒索的网友发布消息,此前,病毒作者谎称该病毒使用复杂加密算法、且两天内不付款将永远无法解密文件。火绒团队认为,事实上,此病毒为简单异或加密,即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。另外,病毒作者还设置虚假时间误导用户,让用户误以为病毒已经潜伏了较长时间。
火绒工作人员今早登录病毒服务器时发现,服务器密码已经被修改,无法监测,但预计中毒电脑数量仍在持续增长。
金山毒霸工作人员接受记者采访时提醒网友,切勿随意相信外挂、游戏辅助工具等,及时将系统升级到最新,并将重要文件进行备份。
360安全卫士提醒用户,服务器管理者不仅应当修复系统漏洞,还需要修复Web应用、数据库等在服务器中安装的各类应用平台的漏洞,关注厂商的安全更新。
目前,火绒、金山毒霸、360安全卫士、腾讯电脑管家等厂商都推出解密工具,已可拦截和查杀该勒索病毒。
新京报见习记者 马瑾倩 见习编辑 于音 校对 陆爱英
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
