這個加密算法,運行一次是加密的效果。如果運行兩次,也就是加密的基礎上再加密,代碼又會變成和加密之前一模一樣。。。就像一枚硬幣,翻一次看到背面,翻兩次還是正面朝上。。。。(注意,實現反轉的話,病毒程序的代碼要做微調,小白勿試,后果自負。)
已經生無可戀的亮哥又定睛一看,還是不對。。。
加密之后的秘鑰,就靜悄悄地躺在硬盤上。這大概就像:你用一把鎖把人家的家門給鎖上,然后把鑰匙放在門下的腳墊里。。。然后大搖大擺地說,打錢!
Key文件就存在硬盤里。。。
怎么說呢,病毒代碼的每一行,都能透出作者的不甘平庸,但是最終的效果只能證明,作者盡力了。。。
12月1號晚上,亮哥把病毒分析報告傳給一位同事,讓他去開發一套“專殺工具”。工具當然不太復雜,同事熬了一下夜,第二天早晨就把專殺工具提交360安全衛士上線,這個不在話下。
再回頭看亮哥,既然知道病毒造成的一切破壞都有辦法還原,基本就放心了。接下來,他準備帶著兄弟們去追查一下這個病毒究竟是何方神圣。
(3)微信、支付寶以及十大互聯網公司躺槍
講真,病毒界和我們人類世界一樣,也能分出三六九等。
如果病毒作者買很多服務器,然后把病毒放在里面,誘騙其他電腦來訪問,那么這就屬于病毒界的王思聰。。。
如果病毒作者只是黑了人家的服務器,然后偷偷地“借用”人家的服務器來傳播病毒,那這就是病毒界的屌絲。。。
今天這位“微信勒索病毒”屬于哪種呢?它稱得上是屌絲中的戰斗絲。。。
直接說原理。把大象裝冰箱分三步,這套病毒的工作原理,也分三步:
第一步:用戶下載了薅羊毛程序之后,這個程序會偷偷“逛豆瓣”。。。
是的,你沒看錯,這個薅羊毛程序就是會訪問豆瓣。當然,它并不是文藝小清新,而是從豆瓣的一個網頁里,讀取攻擊指令。
就是這個網頁了,原貼已被刪,感謝百度快照。。。
本來被用來寫影評的地方,寫了這么一堆亂碼,程序讀了它,就接受到了一個指令,去哪里下載什么東西。
第二步:“逛豆瓣”之后,它會去“逛QQ空間”
豆瓣頁面里的指令,指向一個 QQ空間,在這個QQ空間里,有張小女孩的圖片。這不是一個普通的小女孩,你看,它的分辨率只有530*456,但是它的大小卻有6.98M。。。
因為在這個圖片背后,貼著一個“下載器”,可以訪問指定的地址下載另一個程序。
(把這張圖片解壓之后,能解出這么一堆文件。。。)
這個指定的地址是哪里呢?還是豆瓣。。。。去豆瓣干什么呢?還是跳到QQ空間找另一個“下載器”。就這么循環了三次,下載了一堆形態各異的下載器。終于,最后一個下載器把劇情推進到了第三步。
第三步:下載勒索病毒。
最后一個下載器,終于從QQ空間里拿回了兩樣東西:這第一樣我們等下再說,這第二樣就是勒索病毒本尊。后面的故事就是把用戶電腦上的文件加密,然后彈出微信支付二維碼,大家都知道了。
以防你沒明白,中哥畫張圖。簡單來說就是薅羊毛程序下載了一串下載器,最后一個下載器下載了勒索病毒。
你看,整個勒索流程下來。它把惡意指令藏到豆瓣,把惡意程序藏到 空間,自己不僅連個服務器都不用買,而且連服務器都不用偷。
直接利用豆瓣和QQ的免費服務,黑客攻擊的成本是:零。。。
聽到這,中哥已經跪服了。。。這個病毒的作者肯定是個勤儉持家的好孩子。每勒索一票賺110塊,都是凈利潤啊。。。
主線劇情進行到這,卻又出現了一個支線劇情。
那就是我們剛才賣的關子,最后一個下載器從 空間拿回了兩樣東西,除了勒索病毒,另一個是神馬呢?
沒錯,就是用來記錄用戶密碼的程序。
問:它都可以用來記錄什么密碼呢?
答:支付寶、京東、網易163郵箱、微博、百度云盤、QQ網頁版、天貓、旺旺、酷狗、迅雷。
其中,支付寶的安全做得最好。一般情況下,用戶在支付寶頁面輸入密碼的時候,支付寶會探測有沒有記錄程序在偷偷記錄密碼。所以,為了繞過支付寶的檢查,黑客在支付寶的網頁之上生成了一個一模一樣的窗口,蓋住原本的密碼框,騙用戶輸入密碼。。。
這就是為神馬到了第二天,這個病毒又被稱為“支付寶病毒”的原因了。。。。
至此,微信和支付寶躺槍的過程完畢。
這個病毒之所以被叫做“微信勒索病毒”,是因為它通過微信支付勒索錢財。
這個病毒之所以被叫做“支付寶病毒”,是因為它試圖盜取用戶的支付寶密碼。
然鵝,平胸而論,這個病毒并沒有只盜取支付寶的密碼啊。。。如果它盜取誰的密碼就用誰命名的話,這個病毒應該叫做:
“支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒”
那么這個病毒究竟盜取了多少人的賬號和密碼呢?賣個關子,最后會揭曉。
我們繼續順著病毒追查。既然已經得知這么多信息,接下來就可以試著尋找病毒作者究竟是誰了。
(4)病毒作者浮出水面
事到如今,你已經能體會這位病毒作者童鞋的風格了:雖然他破“腚”百出,但只要你留心,總能找到更奇葩的破腚。。。
剛才我們說過。那個薅羊毛程序并不是把“微信勒索病毒”下載下來,而是在之前,下載了一些“下載器”,再由下載器把“勒索病毒”下載下來。
好的,奇葩的破綻就出在這些“下載器”上。
為了嚴謹,多說一句。分析了一下在真正病毒被下載之前的五個“下載器”,亮哥發現,這些下載器的代碼風格和最后的病毒是一致的。這證明,下載器和最終病毒的作者是一個人。
在其中一個下載器里,作者竟然留下了自己的 地址,而這個地址可就厲害了,用戶名直接是:“”。我讀書少,但怎么看這都是一個QQ號吧。。。而在頁面里他還留下了一串字符:。我讀書少,但這這分明就是一個名字的縮寫和生日好不好。。。
不用你們動手,
中哥替你們搜了一下這個QQ號。
1996年,還是個白羊座。。。聽說白羊座做事沖動,星象大師誠不我欺啊。
亮哥說,他剛開始搜到這個QQ號的時候,對方的簽名還寫著:“收徒,老濕傅帶你寫外掛。2300包教包會!”(當然現在已經改了)
而有一位叫做“雕哥”的熱心網友,好奇加了他的QQ,他居然還沒意識到發生了什么,要繼續去打LOL。
當然,即使是一個病毒作者,中哥也并不提倡人肉他。不過實際上,這些信息被公開之后,廣大網友已經把這位小哥的具體姓名人肉到了。。。具體的信息這里就不寫了,我們暫且把他稱為 LSY 吧。
至此,黑客在安全人員眼中已經遭遇了史詩級的潰敗。。。
說到這,你一定想知道,這位黑客老濕傅究竟賺了多少錢。
當然,這個賬號具體的收款詳情,只有微信支付才掌握,他們并不會公布。但亮哥回憶了一個有趣的細節。
最開始,亮哥接到“報警”之后,確實有一個受害者說,他已經掃碼支付了110塊,然后,就沒有然后了。
經過逆向這個病毒程序之后,亮哥發現,程序根本就沒那么智能,這邊付過去110塊,那邊的 LSY 老濕根本不知道是誰付的錢,又怎么能幫你解鎖呢。。。。
而在亮哥嘗試掃那個微信支付碼的時候,這個碼已經失效,因為被舉報了。。。舉報了。。。
怎么說呢,很可能那個付款的受害者,是第一個交贖金的,也是最后一個能交進去贖金的。。。這個故事告訴我們:下次遇到微信支付勒索,交智商稅要趁早。磨蹭半個小時,想送錢都送不進去了。
故事講到這里,還有一個最大的疑團沒有解開,那就是:LSY 老濕傅,究竟是如何把那一整套“下載病毒的指令”塞進幾十款薅羊毛程序里的呢?
你可能猜不到,解開這個謎團的同時,我們順便又打開了一個新世界的大門。。。
(5)神秘的組織:易語言
一個神奇的事實浮出水面:
所有傳播這個勒索病毒的薅羊毛、外掛程序,都有一個驚人的特點,那就是——他們都是用“易語言”編寫的。
你可能會好奇,納尼?我聽說過 C語言,PHP,Java,啥叫易語言?
實話實說,中哥在一天以前,也不知道神馬是易語言。
給你兩張易語言編程界面你體會一下。
再來一張人們學習易語言的場景。
你應該有感覺了。易語言是一個純中文的編程界面,對于廣大沒有計算機背景,但是卻熱愛編程的人士“相當友好”。
如果說 C 語言是任天堂的紅白機的話,那么易語言就是——小霸王學習機。
可能你猜不到,易語言在中國有著巨大巨大的使用群體。
而在易語言的粉絲中,有一個頗為有名的論壇——精易論壇。
給你看下,精易論壇的感覺。。。
點擊可以看大圖,
如果你想的話。。
我為什么要花這么多時間來說易語言呢?因為,整場“微信勒索病毒”事件,其實都只發生在易語言的世界里。事情是這樣的:
1、LSY 老濕傅,是一個狂熱的易語言愛好者,曾經用易語言做了一些有用的小工具,發在了精易論壇上。
2、2018年早些時候,LSY 老濕傅動了歪心,他發布了一個帶有病毒的小工具,但是很快被細心的網友發現了,回帖說你這個里面有病毒啊。。。老濕傅羞赧無比,決定回去再苦練幾個月。。。
3、在2018年11月15號,老濕傅重出江湖,在精易論壇發表了一個新的小工具“小型軟件在線更新方法”。這是一個易語言編程的插件。而這個插件里面,就被 LSY 老濕傅植入了“下載器”的惡意代碼。
這個惡意代碼可就厲害了——它感染的是易語言的編程程序。
也就是說,一旦下載過這個插件,用它編出來的程序,都是偷偷帶有下載器功能的,軟件作者并不知情。而這個下載器能用來下載什么,就是 LSY 老濕傅說了算了。
于是,LSY 通過感染“編程語言母體”的方式,讓母體編寫出來的一切程序都天然帶有病毒。就像那些可怕的基因疾病一樣,如果母親具有患病基因,那么孩子也會天然帶有這種疾病。
于是,一場可怕的擴散就此開始。
(6)一場華麗的當眾裸奔
講真,這種攻擊母體的方法,在黑客界已經非常出名。甚至它還有一個名字,叫做“軟件供應鏈攻擊”。
這種攻擊非常有效,擴散起來非常迅速。但是易語言打開加密文件原理,真正的成熟黑客,一般不會選用這種攻擊方式,原因是神馬呢?
沒錯,就是控制不住事態。。。
病毒干的這些事,盜取信息、勒索,本來應該是低調進行的。這就像搶劫團伙,本來應該夜黑風高之時在僻靜的小胡同里,堵住一個弱小的姑娘要錢。沒聽說過哪個搶劫團伙到王府井地鐵站,每人把守一個出口,站在安檢旁邊挨個要錢的。。。
但是,感染母體軟件之后,病毒作者是沒辦法控制其他人用這些母體編寫多少新程序出來的,病毒作者也沒辦法控制這些新編出來的帶毒軟件究竟會有多火,會有多少人使用。
這就像你打臺球的時候,
把白球直接打進洞很容易,
但是用白球撞彩球進洞就更難控制準星,
如果你能讓五顆球連續撞擊最后進洞,那你就是世界級選手了。
換句話說,就像一個小孩子扛起了火箭炮,他對接下來發生的事情根本無法控制。。。。
這樣一看,一切就都明白了:
“微信勒索病毒”,本來就是 LSY 老濕想要小范圍傳播的勒索軟件,于是根本都沒做什么偽裝,還用了微信支付碼,估計在他心里,預計這個病毒會感染幾十人,然后其中十個人付贖金,賺個一千多塊錢完事。
沒想到,中國人民對于薅羊毛這件事情過于熱衷,導致幾萬人使用了帶毒的薅羊毛程序,超出了他的預料,直接驚動了中國幾大殺毒軟件。。。
事實也證明,病毒從開始傳播到各大安全廠商剿滅,總共用了半天時間。但LSY 老濕的蠢萌和法律意識不足,生生把一個低調的勒索病毒變成了天安門廣場大型裸奔現場。。。
就這樣,他從一個默默收徒的小黑客,搖身一變成了兩天之內用兩種姿勢連續攻占百度搜索頭條的男人。。。
事情曝光之后,LSY 的豆瓣頁面上的最后一條攻擊代碼也被他換掉了,只有一行字:
sorry!---太年輕了!
看到這里,一種復雜的心情涌上我心頭。年輕總會犯錯誤,但有時我們為年輕付出的代價,也許過于沉重。
以上一切信息,亮哥都在第一時間同步給了警方。從公開信息看,各大安全廠商也都把自己掌握的信息交給了警方。
就在2018年12月6日晚上,微博“平安東莞”發布了一條消息。沒錯,LSY 老濕落網了。。。
根據警方的信息,羅某某涉嫌利用自制病毒木馬入侵用戶計算機,非法獲取淘寶、支付寶、百度網盤、郵箱等各類用戶賬號、密碼數據約5萬余條,全網已有超過10萬臺計算機被感染。
亮哥給我講的故事,到這里就告一段落了。
但是回望整個事件,我發現它的每一個環節,都只能發生在中國。
從只有中國人才用的“小霸王學習機”易語言,到中國特色的薅羊毛軟件,到通過豆瓣和QQ空間進行病毒投放,到微信支付收勒索款,再到這個22歲的青年所思考的一切。
在川流的忙碌人群背后易語言打開加密文件原理,有一個龐大的群體,大多數時候他們沉默著,在角落里按照自己的“規則”生存著。
他們之中,有的人賺盡榮華,坐擁香車美女;
他們之中,也有人四處掙扎,幻想致富良方。
偶爾,他們中的一員被甩到輿論的漩渦中心,被人嬉笑品評,然后黯然退場。
他們,像是中國的影子。
本文由公眾號淺黑科技(ID:)授權轉載
九章算法|幫助更多中國人找到好工作
面試大作戰:
拿offer前的準備工作和沖刺要點
美西時間12月5日周三 19:00-20:30
北京時間12月6日周四 11:00-12:30a.m