<<返回上一层

“微信支付”勒索病毒被破解:源头是带病毒的开发工具

发布时间:2018-12-06     浏览次数:457

12月1日,一种新型的勒索病毒在国内爆发,多名用户称,其电脑感染一款使用手机扫码支付作为赎金支付渠道的病毒。

12月5日,据国家互联网安全应急中心报告,该病毒采用“供应链感染”方式进行传播,通过论坛传播植入病毒的“易语言”编程软件,进而植入各开发者开发的软件,传播勒索病毒;同时,该病毒还窃取用户的账号密码,包括淘宝、天猫、支付宝、QQ等。

该勒索病毒在感染用户计算机后不会勒索比特币,而是弹出微信支付二维码,要求受感染用户使用微信支付110元,从而获得解密密钥,这也是国内首次出现要求使用微信支付的勒索病毒。

目前,腾讯微信团队判定该支付二维码存在违规行为,所涉勒索病毒作者账户已被封禁、收款二维码被紧急冻结。此外,微信方面强调,这款勒索病毒是电脑病毒,跟手机没有关系,微信也没有出现病毒,不管是苹果手机还是安卓手机,都不会被感染。

支付宝安全中心表示,目前没有一例支付宝账户受到影响。支付宝称,针对此类风险,支付宝风控系统早有针对性的防护,包括二次校验短信校验码、人脸识别等。即便密码泄露,也能最大程度地确保账户安全。

据“火绒威胁情报系统”监测和评估,截至12月4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。

rOdF-hprknvt2474414[1].jpg

被盗账户密码的信息数据统计。本文图均为火绒安全 图

另据360团队分析,查到已受感染的电脑软件超过900款。据了解,其中多数是“薅羊毛”类灰色软件。

据腾讯电脑管家检测,目前全网中招用户已经过万。

目前,腾讯电脑管家、360安全卫士、火绒都已破解这款新型的勒索病毒,用户可通过这些安全软件进行防御。

火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。

经过进一步分析,火绒团队发现所有相关信息都指向同一主体:姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。

据安全专家表示,病毒本身写得很烂,很轻松就完全解密了,专业的病毒作者恐怕也不会使用实名制的移动支付二维码收钱。

事实上,这类直接感染源代码或代码编译程序的手法,在座的我们对此应该都不陌生。

2015年9月,就曾出现过震惊世界的 iOS 应用感染 XCodeGhost 病毒的事件。由于大量苹果开发者使用了被感染的 XCode 开发工具,导致众多 iOS 应用携带了恶意代码,盗取用户信息。其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。

这次“微信支付”勒索病毒,类似于当年的 XCodeGhost 事件,都是利用程序开发工具作为病毒传播的载体,通过下载开发再下载的路径进行扩散。有行业人士表示,这个操作“不高级”。

附:国家互联网应急中心提醒广大用户如发现电脑被病毒感染,应及时采取如下措施进行防范:

  1. 安装并及时更新杀毒软件,目前市场主流反病毒软件都已支持针对该勒索病毒的防护与查杀。

  2. 不要轻易打开来源不明的软件,该勒索病毒通过易语言编写的程序传播,减少使用来源不明的软件可有效预防。

  3. 如已经感染勒索病毒,可使用相关解密工具尝试解密。目前,许多公司已经针对该勒索病毒开发了解密工具,包括火绒Bcrypt专用解密工具、腾讯电脑管家“文档守护者”、360安全卫士“360解密大师”等。

  4. 已感染勒索病毒的用户,在清除病毒后,尽快修改淘宝、天猫、支付宝、QQ等敏感平台的密码。

  5. 定期在不同的存储介质上备份计算机中的重要文件。



客服中心 customer service center

售前在线咨询 (以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管)

售后服务 (或与官方提供的专属QQ一对一直接服务)

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制。

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项