一個讓你用微信支付的勒索病毒 一場黑吃黑的表演
所謂的“‘微信支付’勒索病毒”相信這兩天已經讓很多人人心惶惶了。我們先來簡單看一下經過,12月1日,火絨安全實驗室釋出報告稱,近期火絨團隊接到使用者反饋,使用“微信二維碼掃描”進行勒索贖金支付的勒索病毒Bcrypt正在大範圍傳播——該病毒為新型勒索病毒,入侵電腦執行後,會加密使用者檔案,但不收取比特幣,而是要求受害者掃描彈出的微信二維碼支付110元贖金,獲得解金鑰匙,這也是國內首次出現要求微信支付贖金的勒索病毒。
病毒作者謊騙使用者稱“因金鑰資料較大如超出個這時間(即2天后)伺服器會自動刪除金鑰,此解密程式將失效”,但實際解密金鑰存放在使用者本地,在不訪問病毒作者伺服器的情況下,也完全可以成功解密。
根據火絨實驗室的研究,該病毒的傳播路徑是:
Bcrypt勒索病毒通過供應鏈汙染的方式正在進行大範圍傳播,病毒製造者利用豆瓣等平臺當作下發指令的C&C伺服器,植入被大量開發者使用的“易語言”程式設計程式,進而植入他們編寫的各種軟體產品,所有使用這些軟體產品的電腦都可能被感染。活躍的染毒軟體超過50款,其中多數是“薅羊毛”類灰色軟體。
病毒會藉助被感染的易語言編譯環境為跳板,之後病毒會通過從被感染環境編譯出的易語言程式在網際網路中大範圍擴散。此類受影響的易語言程式眾多,其中還包含有一些易語言程式下載平臺(如:萬軟平臺、賺客吧等)。易語言開發人員開發環境被感染後,編譯出帶毒的易語言程式,再上傳到各大程式下載平臺上供使用者下載,從而使病毒在更廣的範圍內進行傳播。
12月2日,火絨團隊表示該勒索病毒已被其成功破解,併發布瞭解密工具。
隨後,騰訊管家和支付寶等均發表了宣告。
騰訊管家表示,微信已第一時間對所涉勒索病毒作者賬戶進行封禁,收款二維碼予以緊急凍結,微信使用者財產和賬戶安全不受任何威脅。
支付寶則表示已第一時間跟進,目前沒有一例支付寶賬戶受到影響,並表示針對此類風險支付寶風控系統早有針對性的防護,包括二次校驗簡訊校驗碼、人臉識別等。即便密碼洩露,也能最大程度的確保賬戶安全。
支付寶的工作人員還告訴虎嗅:“不管使用者是因為中了木馬洩露了密碼,還是其他網站被拖庫後黑灰產來撞庫,對於支付寶風控系統來講,都屬於密碼洩露類風險,密碼已不足以做核身。密碼洩露是網際網路上歷史悠久的風險,我們的風控很早就覆蓋了這類風險。就算你的密碼洩露了,我們的風控也能做好保護。萬一還是被盜了,我們會全額賠付。”
12月5日,火絨安全實驗室再次釋出公告稱,根據“火絨威脅情報系統”監測和評估,截至4日晚,該病毒至少感染了10萬臺電腦,不光鎖死電腦檔案,還竊取了數萬條淘寶、支付寶等平臺的使用者密碼等資訊。
目前,火絨團隊發現所有相關資訊都指向同一主體:姓名(羅**)、手機(1********45)、QQ(1*****86)、旺旺賬號名(l****96)、郵箱(29*****@qq.com)。火絨已將上述個人資訊,和被竊取的受害使用者支付寶密碼等資訊,一併交給警方。
關於這件事兒,基本上就是上面的情況,儘管感染了10萬多臺電腦,但所幸沒有造成使用者的財產損失。
接下來,我覺得有幾點是需要釐清和反思的。
第一,這個事兒暴露了黑產、灰產是一個多麼龐大的產業鏈,我們來簡化一下它的傳播路徑:病毒編寫者 - 程式設計軟體 - 應用軟體 - 使用者。而根據火絨軟體追蹤到的,這些被感染的軟體都是一些薅羊毛類的灰產軟體。所以本質上是一個黑吃黑的事件。
在接受虎嗅採訪時,騰訊安全實驗室負責人TK分析認為:“從現有的報告來看,這跟當年的熊貓燒香差不多。你說為什麼這麼傳播廣,寫易語言程式的人,他寫的程式本身是會被防毒軟體幹掉的,黑產或灰產的程式本身就是這些人寫的,會被很多防毒軟體查殺,所以他們(被感染的這些)自身也不會裝這些防毒軟體。”所以這些人開發的薅羊毛軟體被感染了病毒而不自知。
這件事兒本質上一個違法犯罪分子利用了另一群違法犯罪分子的軟體漏洞進行違法犯罪,如果沒有這次的時間,我們可能很難具象地感知到黑產、灰產這條產業鏈有多大,這次讓我們得以明確窺見其冰山一角。也建議警方藉此機會順藤摸瓜,看是否能牽出一條灰產、黑產產業鏈。如果僅是抓獲病毒作者,這事兒的意義就大打折扣了。
第二,感謝火絨安全實驗室發現並報告、追蹤了該病毒的存在,並及時上報、破解,幫助使用者及時止損,也提醒了支付寶、微信支付和各種防毒軟體迅速採取措施,但火絨實驗室從2日開始的幾次報告都直接把Bcrypt病毒稱為“微信支付勒索病毒”,是不嚴謹的、不科學的。
使用者只是另闢蹊徑地選擇了“微信支付”,並且也非常體貼,只收110元(跟報警電話一樣的數字,很難說這不是病毒作者向警方挑釁或戲謔),就把這個病毒跟微信支付緊密地團結在一起,會誤導使用者是微信支付出現了重大的安全漏洞。而實際上正如火絨實驗室在報告中所言:“火絨團隊的分析表明,微信支付、支付寶和豆瓣等平臺,均與該病毒的傳播和作惡沒有直接關係,也沒有發現有系統漏洞被利用。”
所以既然這個事兒跟微信支付沒什麼關係,還是希望如此嚴謹的安全團隊在報告的時候就別用“微信支付勒索病毒”這個錯誤的表述了,否則使用微信支付的中國使用者有幾億人,這是多大的恐慌?別好心辦壞事兒。
第三,對普通使用者的一點提醒:遇到這種事兒,別付款,趕緊報警。
來源:虎嗅網
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
相關文章
- android微信分享、微信支付的一些坑Android
- 微信支付勒索病毒製造者被鎖定 網友:史上最蠢的駭客!
- 一個糟糕的訊息,Paradise勒索病毒又上新了
- 一個用tp後臺的微信助手網站網站
- 一開機就被病毒和木馬淹沒?GandCrab勒索病毒盯上你了!
- 一個微信群的現狀
- PHP微信支付統一下單PHP
- 一個PHP檔案搞定微信支付系列之企業付款PHP
- 微信支付,支付寶支付
- 一次勒索病毒攻擊,讓1500萬使用者“停跑”
- 一個PHP檔案搞定微信支付系列之現金紅包PHP
- 關於支付寶以及微信支付的整合
- 微信小程式的支付流程微信小程式
- XorPay 個人支付平臺【支援個人微信支付和支付寶支付介面】
- PHP 微信支付通知金額不一致的問題PHP
- 不止微信、支付寶!一文帶你瞭解所有小程式平臺
- 支付寶、微信支付(.NET)
- 勒索病毒很可怕?!一招解決
- 關於微信支付,支付寶支付
- 伺服器中了勒索病毒,升級後的Malox勒索病毒特徵,勒索病毒解密資料恢復伺服器特徵解密資料恢復
- 微信JSAPI支付JSAPI
- 微信App支付APP
- 勒索病毒也有地方標誌?警惕字尾為“.beijing”的勒索病毒
- 用Taro寫一個微信小程式(三)—— 配置dva微信小程式
- 讓你一場 Chat 學會 GitGit
- 支付寶微信合單支付
- 寫一個chrome外掛讓你的codepen下雨Chrome
- Qealler - 一個用Java編寫的惡意病毒軟體Java
- 微信App支付:微信支付的appid,appsecret,商戶號mch_id,微信交易支付金鑰(mch_key)在哪裡檢視APP
- 一行程式碼讓微信、頭條、百度、支付寶小程式支援 cookie行程Cookie
- 勒索病毒與一起命案相距多遠?
- 一週擼一個 GitHub 微信小程式Github微信小程式
- Spring Boot中的微信支付(小程式)Spring Boot
- 前端呼叫微信小程式的支付流程前端微信小程式
- 兩天擼一個天氣應用微信小程式微信小程式
- nodejs微信支付之掃碼支付NodeJS
- 微信、支付寶支付那點事
- 這10個實用網站/app,至少讓你的效率翻一倍!網站APP