一个让你用微信支付的勒索病毒,一场黑吃黑的表演

一个让你用微信支付的勒索病毒,一场黑吃黑的表演
2018年12月05日 15:22 虎嗅APP

  文/周超臣

  所谓的“‘微信支付’勒索病毒”相信这两天已经让很多人人心惶惶了。

  我们先来简单看一下经过,12月1日,火绒安全实验室发布报告称,近期火绒团队接到用户反馈,使用“微信二维码扫描”进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播——该病毒为新型勒索病毒,入侵电脑运行后,会加密用户文件,但不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这也是国内首次出现要求微信支付赎金的勒索病毒。

  病毒作者谎骗用户称“因密钥数据较大如超出个这时间(即2天后)服务器会自动删除密钥,此解密程序将失效”,但实际解密密钥存放在用户本地,在不访问病毒作者服务器的情况下,也完全可以成功解密。

  根据火绒实验室的研究,该病毒的传播路径是:

Bcrypt勒索病毒通过供应链污染的方式正在进行大范围传播,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是“薅羊毛”类灰色软件。

病毒会借助被感染的易语言编译环境为跳板,之后病毒会通过从被感染环境编译出的易语言程序在互联网中大范围扩散。此类受影响的易语言程序众多,其中还包含有一些易语言程序下载平台(如:万软平台、赚客吧等)。易语言开发人员开发环境被感染后,编译出带毒的易语言程序,再上传到各大程序下载平台上供用户下载,从而使病毒在更广的范围内进行传播。

  12月2日,火绒团队表示该勒索病毒已被其成功破解,并发布了解密工具。

  随后,腾讯管家和支付宝等均发表了声明。

  腾讯管家表示,微信已第一时间对所涉勒索病毒作者账户进行封禁,收款二维码予以紧急冻结,微信用户财产和账户安全不受任何威胁。

  支付宝则表示已第一时间跟进,目前没有一例支付宝账户受到影响,并表示针对此类风险支付宝风控系统早有针对性的防护,包括二次校验短信校验码、人脸识别等。即便密码泄露,也能最大程度的确保账户安全。 

  支付宝的工作人员还告诉虎嗅:“不管用户是因为中了木马泄露了密码,还是其他网站被拖库后黑灰产来撞库,对于支付宝风控系统来讲,都属于密码泄露类风险,密码已不足以做核身。密码泄露是互联网上历史悠久的风险,我们的风控很早就覆盖了这类风险。就算你的密码泄露了,我们的风控也能做好保护。万一还是被盗了,我们会全额赔付。”

  12月5日,火绒安全实验室再次发布公告称,根据“火绒威胁情报系统”监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。

  目前,火绒团队发现所有相关信息都指向同一主体:姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。

  关于这件事儿,基本上就是上面的情况,尽管感染了10万多台电脑,但所幸没有造成用户的财产损失。

  接下来,我觉得有几点是需要厘清和反思的。

  第一,这个事儿暴露了黑产、灰产是一个多么庞大的产业链,我们来简化一下它的传播路径:病毒编写者 - 编程软件 - 应用软件 - 用户。而根据火绒软件追踪到的,这些被感染的软件都是一些薅羊毛类的灰产软件。所以本质上是一个黑吃黑的事件。

  在接受虎嗅采访时,腾讯安全实验室负责人TK分析认为:“从现有的报告来看,这跟当年的熊猫烧香差不多。你说为什么这么传播广,写易语言程序的人,他写的程序本身是会被杀毒软件干掉的,黑产或灰产的程序本身就是这些人写的,会被很多杀毒软件查杀,所以他们(被感染的这些)自身也不会装这些杀毒软件。”所以这些人开发的薅羊毛软件被感染了病毒而不自知。

  这件事儿本质上一个违法犯罪分子利用了另一群违法犯罪分子的软件漏洞进行违法犯罪,如果没有这次的时间,我们可能很难具象地感知到黑产、灰产这条产业链有多大,这次让我们得以明确窥见其冰山一角。也建议警方借此机会顺藤摸瓜,看是否能牵出一条灰产、黑产产业链。如果仅是抓获病毒作者,这事儿的意义就大打折扣了。

  第二,感谢火绒安全实验室发现并报告、追踪了该病毒的存在,并及时上报、破解,帮助用户及时止损,也提醒了支付宝、微信支付和各种杀毒软件迅速采取措施,但火绒实验室从2日开始的几次报告都直接把Bcrypt病毒称为“微信支付勒索病毒”,是不严谨的、不科学的。

  用户只是另辟蹊径地选择了“微信支付”,并且也非常体贴,只收110元(跟报警电话一样的数字,很难说这不是病毒作者向警方挑衅或戏谑),就把这个病毒跟微信支付紧密地团结在一起,会误导用户是微信支付出现了重大的安全漏洞。而实际上正如火绒实验室在报告中所言:“火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。”

  所以既然这个事儿跟微信支付没什么关系,还是希望如此严谨的安全团队在报告的时候就别用“微信支付勒索病毒”这个错误的表述了,否则使用微信支付的中国用户有几亿人,这是多大的恐慌?别好心办坏事儿。

  第三,对普通用户的一点提醒:遇到这种事儿,别付款,赶紧报警。

  不用谢我。

新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

科学探索

科学大家

苹果汇

众测

来电聊

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片