日均感染量圖,最高13134臺(從病毒服務器獲取的數據)
沒錯,狡猾的黑客們這次放棄了把比特幣當作贖金這種“不接地氣”的勒索方式,而是發起微信二維碼掃描進行勒索贖金支付(勒索病毒Bcrypt)。用戶中毒重啟電腦后,會彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進行文件解密。
病毒作者謊騙用戶稱“因密鑰數據較大如超出個這時間(即2天后)服務器會自動刪除密鑰,此解密程序將失效”,但實際解密密鑰存放在用戶本地,在不訪問病毒作者服務器的情況下,也完全可以成功解密。如下圖所示:
據火絨安全團隊分析、溯源,該病毒巧妙地利用“供應鏈污染”的方式進行傳播。首先通過相關論壇,植入被大量開發者使用的“易語言”編程程序,進而植入他們編寫的各種軟件產品,所有使用這些軟件產品的電腦都可能被感染。活躍的染毒軟件超過50款,其中多數是“薅羊毛”類灰色軟件。
部分被感染軟件
另外,該勒索病毒開始勒索前,會在本地生成加密、解密相關數據,火絨工程師根據這些數據成功提取到了密鑰。此外,該勒索病毒只加密用戶的桌面文件,并會跳過一些指定名稱開頭的目錄文件,包括“騰訊游戲、英雄聯盟、tmp、rtl、program”,而且不會感染使用gif、exe、tmp等擴展名的文件。
值得一提的是,該病毒會利用帶有騰訊簽名的程序調用病毒代碼,來躲避安全軟件的查殺。
截止到12月3日,已有超過兩萬用戶感染該病毒,并且被感染電腦數量還在增長。
供應鏈污染流程
此外,火絨團隊發現,病毒制造者利用豆瓣等平臺當作下發指令的C&C服務器。工程師通過逆向分析病毒的下發指令,成功解密出其中2臺病毒服務器,發現大量被病毒竊取的用戶個人信息。僅1臺用于存儲數據的病毒服務器,就存放了竊取來的淘寶、支付寶等賬戶密碼兩萬余條。
被盜取的登錄信息數據統計信息
也就是說,中招用戶可能損失的不止是錢還有被該病毒竊取的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號。(各位該趕緊改密碼了!)
此外,該病毒還將受害電腦所有安裝的軟件進行統計和信息回傳,通過對數據的分析發現,多數受害者沒有安裝安全軟件。
經過進一步分析,所有相關信息都指向同一主體——姓名(羅**)、手機(1********45)、QQ(1*****86)、旺旺賬號名(l****96)、郵箱(29*****@qq.com)。目前,病毒制造者個人信息及被竊取的受害用戶支付寶密碼等信息都已被交給警方。
至于微信支付、支付寶和豆瓣等平臺,均與該病毒的傳播和作惡沒有直接關系,也沒有發現有系統漏洞被利用。微信在12月1號當天關閉了勒索贖金的賬號;豆瓣12月4號刪除了病毒下發指令的頁面,控制了病毒的進一步傳播。
而廣大用戶也無需擔心,12月1日該病毒爆發后,眾多安全廠商都已升級產品,并發布各自的解密工具。使用這些安全軟件即可查殺該病毒,已經被感染用戶,可以使用這些解密工具還原被鎖死的文件。
雷鋒網宅客頻道(微信公眾號:letshome),專注先鋒科技,講述黑客背后的故事。歡迎關注雷鋒網宅客頻道。
源:羊城晚報
原標題:勒索病毒盯上移動支付? 微信支付寶暫未受影響
勒索病毒又來勒索了。12月4日,信息安全公司火絨安全實驗室發布消息稱,近日爆發的“微信支付”勒索病毒愈演愈烈,邊勒索邊竊取支付寶密碼等。對此,騰訊方面表示,已第一時間對所涉勒索病毒作者賬戶進行封禁、收款二維碼予以緊急凍結;螞蟻金服方面表示,對此類風險早有防范。有業內人士表示,此次的勒索病毒造成的影響有限,但是勒索病毒難以完全根治,用戶需多加防范。
A
微信:已封禁相關賬戶
12月1日,火絨安全實驗室客服接到若干用戶求助,稱遭遇勒索病毒攻擊。經分析確認,該病毒為新型勒索病毒,入侵電腦運行后,會加密用戶文件,但不收取比特幣,而是要求受害者掃描彈出的微信二維碼支付110元贖金,獲得解密鑰匙,這也是國內首次出現要求微信支付贖金的勒索病毒。該勒索病毒加密文件后彈窗提示,用戶需在今年12月3日之前交付贖金解密,如果超出時間,則服務器會自動刪除密匙。
同樣是在1日,騰訊安全管家也接到若干用戶求助,稱遭遇勒索病毒攻擊。據查,該新型勒索病毒通過加密電腦上的doc、jpg等常用文件,然后利用微信支付二維碼進行勒索贖金。騰訊方面表示,微信已第一時間對所涉勒索病毒作者賬戶進行封禁、收款二維碼予以緊急凍結,而微信用戶財產和賬戶安全不受任何威脅。
B
支付寶:目前無賬戶受影響
根據4日發布的信息,這一新型勒索病毒,正在快速傳播,感染的電腦數量越來越多。病毒團伙除了鎖死受害者文件勒索贖金(支付通道已經關閉),還大肆竊取用戶的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號。火絨安全實驗發布的數據顯示,截止到12月3日,已有超過兩萬用戶感染該病毒,并且被感染電腦數量還在增長。
對此,支付寶安全中心表示,已第一時間跟進,目前沒有一例支付寶賬戶受到影響。針對此類風險,支付寶風控系統早有針對性的防護,包括二次校驗短信校驗碼、人臉識別等。即便密碼泄露,也能最大程度地確保賬戶安全。
豆瓣方面則表示:“經查,有網絡病毒制造者利用豆瓣日記等互聯網服務,記錄軟件配置信息(純加密字符)。我們發現后,已第一時間將該文檔刪除、賬號封禁。接下來,豆瓣會核查該賬號信息,配合公安機關依法依規進行處理。”
C
“黑吃黑”?
偽裝成黑灰產常用工具
勒索病毒自從2017年出現以來,給用戶造成了很大危害。通常這種病毒會利用各種加密算法對文件進行加密,而被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。
對于此次新型勒索病毒,有火絨工程師表示,通過勒索病毒的界面信息都是中文可以推測,病毒或為國人制作,并使用不匿名的微信收取贖金,行為猖獗。而騰訊電腦管家技術專家李鐵軍則認為:“這可能是新手所為,加密相對簡單。而從病毒傳播渠道分析出,病毒偽裝成黑灰產從業者常用的工具,而當他們使用這些工具時,就會中毒。”也就是說,此次勒索病毒可更多理解為“黑吃黑”。
李鐵軍表示,黑灰產從業者使用的軟件經常會被殺毒軟件報毒,而他們習慣了這些提示,往往會不在乎殺毒軟件的安全警告,這也是他們容易中招的原因。
D
勤殺毒 普通用戶受影響可能性小
此次新興勒索病毒,令不少App用戶擔憂自己的賬號是否安全。李鐵軍向記者表示,此次的新型勒索病毒偽裝成黑灰產從業者常用的工具,普通用戶由于基本不會去用這些軟件,因而極少會受影響。但需提醒的是,用戶應注意殺毒軟件的提示信息,不要輕易相信某些網站建議用戶關閉殺毒軟件的提示。
騰訊方面也表示:“提醒廣大用戶,該勒索病毒可能通過任何形式的支付方式索要轉賬,若遭遇勒索,不要付款,需及時報警。同時,騰訊電腦管家提供解密工具和人工服務,協助用戶處理相關情況。”(記者 馬化展)
在手機、電腦、機器人等智能終端不斷更新,我相信每個人在使用這些智能終端的時候,多多少少都會遇到“卡機”的現象,有的是因為機器響應速度,有的是因為網絡延遲,但是還有的是因為不知不覺的病毒干擾。談到病毒,有的人就談虎色變。其實病毒也不全是大家想象的那么黑暗、那么殘酷。今天我給大家解說下計算機病毒的產生和應對的方法,希望以此來提高大家對計算機病毒的防范意識。
計算機病毒有很多類,具體的類型可以在網上搜索到,但是納悶的就是,什么都沒干,電腦或者手機就莫名其妙的中毒了。然后有的自動關掉電腦,有的破壞文件,最后沒辦法只能重新給電腦做系統,然后就導致很多文件丟失,造成財產損失。
只要你電腦或者手機連上網,那么就有可能中毒。網上也有說防范病毒的辦法,安裝殺毒軟件、要在正規的網站上瀏覽。我有點想不明白,不是很懂技術的廣大朋友們,如何判定這個網站是不是正規的,打開看看?如果打開了這個網站,那有可能就已經中毒了。那不打開,怎么知道這個是不是正規的,呵呵,確實是一個比較矛盾的。
病毒附著網站較多的就是一些黃色網站,網友在網上搜索一些本來就涉嫌違規的資源的時候,標題顯示的都非常誘惑,就想點開看一看,也許當你點開的那一瞬間,病毒就跑到你電腦或者手機上了。那這個問題如何來解決呢?到正規的地方去看美女或者涉嫌違規的視頻么?開個玩笑,還是建議大家提前在電腦上安裝最新版的殺毒軟件,定期掃描病毒、定期給系統打補丁。
先普及一下相關的關鍵字。
木馬:是這樣的?
?
?
木馬:這個詞,是一個病毒的代號,或者統稱。比如我們人身體感冒了,醫生告訴你這是感染了某某病毒一樣。估計大家印象比較深的就是前些年,經常的QQ被盜,網吧玩游戲著,密碼被盜。后來呢有一些專門針對網上銀行的木馬,目的是盜取用戶的銀行卡號、密碼,甚至安全證書。此類木馬種類數量雖然比不上網游木馬,但它的危害更加直接,受害用戶的損失更加慘重。
看過我前兩次寫的解說的人估計還能記得我草圖畫了一個服務器、域名的圖。木馬有受害方(本地電腦、手機等),有控制方(云端、服務器)。它就相當于在你家里(電腦或者手機)偷偷的放了一個“臥底”,當“臥底”發現家里沒人的時候,就會給控制方(服務器)匯報下當前家里(電腦或者手機)沒人。如果服務器給它指令說打開防盜門,打開防盜窗,有利害的甚至說直接拆掉你家的墻,那么這個“臥底”收到指令以后,就會照著去做,一種“里應外合”的運行機制。然后外部的一些其他程序就可以直接到你家(電腦或手機)把值錢的東西全部搬走或者破壞。
?
?
比特幣病毒:這個是在前幾年,電腦上出現彈窗,提示你的電腦文件已經被鎖定,并且“威脅”使用者必須支付“比特幣”才可以解鎖你的文件。那么這種病毒個人認為是一種勒索病毒,原理還是分為服務器端和電腦端,通過特有的計算機語言(別的語言無法識別),給現有的文件加了一個殼,并重新改寫了該文件。就好比原本我們大家都是用普通話在溝通,就算偶爾對方使用英語,我們通過翻譯器還可以翻譯,不大影響我們的溝通。但是這病毒突然使用了一個“外星語言”或者“自創的語言”或者是一個“語言組合”,總之是只有他自己能搞明白他在說什么,別人都不懂。然后就說,你要想解除,就得交錢,不交錢我就撕票(毀壞電腦文件)。
?
?
這種病毒有些惡心,當時出現這種病毒的時候,之所以使用“比特幣”,個人覺得第一是想給“比特幣”打廣告,“區塊鏈”的時代嘛,二是因為那會“比特幣”的升值問題,我記得好像一個幣要賣到好多萬,具體多少我不記得了。不過后來“比特幣”在國內好像被禁止了。關于勒索收款的這個,估計有人就有疑問了,為什么不用微信、支付寶或者銀行卡收款,不是更方便么,但是這里有個核心的問題,如果病毒開發者用微信、支付寶或者銀行卡收款,那么就算他收到了款,能提現嗎?如果用國外的paypal收款或者其他銀行卡信用卡,也是類似,所以虛擬幣“比特幣”就成為他們的收款工具了。
那么除了上面說的這些病毒外,還有很多很多其他的病毒,寄存在U盤或者硬盤,只要U盤插入電腦,這些病毒就會自動的復制到電腦上,并且他還可以毀壞U盤或者硬盤上的文件。
其實這些病毒都是軟件工程師開發出來的,至于為什么要開發這些病毒,也許跟軟件工程師的心情有關系吧,也許是被老板罵了,也許是失戀了,也許是丟錢了,等等也許,反正就是研發病毒的這個軟件工程師的事。也有的是純粹為了好玩,我記得有一年,我國的一批程序員,成功的攻破了國外某國的官方網站,當國外網站打開的時候,就會播放中國國歌,然后網站中間有一個旗桿,紅旗隨著國歌徐徐升起。也算是比較震撼的一次吧,不過后來把帶頭的給抓起來了。還有一些是做學術研究,為了使軟件系統更加完善、更加穩定。
能編寫出病毒的程序員都是大神級別的軟件工程師,如果你也想編寫一個“病毒”的話,那你就需要學習的更多了。計算機基礎、操作系統原理、編寫EXE文件、精通注冊表、底層開發(給你一塊電路板, 你可以給它寫入程序)、應用層級開發等等。如果哪天你真的編寫出了病毒,還是在本地電腦(非聯網)保存著吧,或者找到專業的“病毒”研究地然后讓大家共同研究研究。