“微信支付”勒索病毒仍在快速传播,腾讯已冻结收款账户

12 月 4 日,中国一家信息安全公司火绒安全实验室发布消息称,12 月 1 日爆发的“微信支付”勒索病毒仍在快速传播,被感染的电脑数量越来越多。

火绒是一家成立于 2011 年的信息安全公司,按照他们自己的介绍,公司专注于终端安全防护技术和产品的研发(PC、手机、Pad、可穿戴设备、物联网等),核心团队成员曾任职于瑞星研发部门。

所谓的“微信支付”勒索病毒,要求受害者以微信扫码的方式支付赎金。病毒感染系统后,会加密 txt、office 文档等有价值数据(与其他勒索病毒不同的是,没有修改原文件后缀名),并在桌面释放一个“你的电脑文件已被加密,点此解密”的快捷方式。

用户点击该快捷方式后,桌面会弹出解密教程和收款二维码,并强迫受害者通过微信转帐缴付解密酬金。

12 月 1 日晚上,腾讯电脑管家团队回应,该勒索病毒的收款二维码已被列入异常名单。腾讯连夜发布了针对该病毒的解密工具测试版。电脑管家团队表示,该勒索病毒的加密机制已被破解,未安装腾讯电脑管家的用户如果中招,可以下载使用该破解工具解密文档。

但问题在于,解密工具只是用户中毒后的补救措施,它并不能让病毒停止传播。该病毒不仅会加密用户文件,还会窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163 邮箱、百度云盘、京东、QQ 等。

根据火绒安全团队提供的监测数据,该病毒的每日感染台数从 12 月开始激增,现在最高已经达到了每天一万多台。截止到 12 月 3 日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。

来源:火绒安全团队

火绒安全团队撰文称,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒是利用污染供应链的方式进行传播的。

病毒作者首先攻击软件开发者的电脑,感染其用以编程的“易语言”中的一个模块,导致开发者所有使用“易语言”编程的软件均携带该勒索病毒。广大用户下载这些“带毒”软件后,就会感染该勒索病毒。整个传播过程很简单,但污染“易语言”后再感染软件的方式却比较罕见。

腾讯电脑管家团队称,该勒索病毒的传播源是一款叫“账号操作 V3.1”的易语言软件,其主要功能是可以直接登录多个 QQ 帐号实现切换管理。

根据腾讯电脑管家团队的描述,病毒传播者使用的“账号操作 V3.1”工具正常情况下会直接被杀毒软件查杀,所以该软件的使用者往往会无视杀毒软件的拦截提示,所以勒索病毒对黑灰产业从业者的定向传播十分奏效。

供应链污染流程 来源:火绒安全团队

此外,病毒制作者利用豆瓣等平台当作下发指令的 C&C 服务器,火绒安全解密下发的指令后获取其中一个病毒后台服务器,发现病毒作者已秘密收取数万条淘宝、天猫等账号信息,也就是说这些用户信息正在泄露。

火绒建议被感染用户,除了杀毒和解密被锁死的文件外,应尽快修改淘宝、天猫、阿里旺旺、支付宝、163 邮箱、百度云盘、京东、QQ 等账户的密码。

腾讯 12 月 4 日回应称,微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。支付宝方面表示,将对此采取有针对性的防护,但目前未收到账户受影响的用户反馈。

题图/visualhunt

我们做了一个壁纸应用,给你的手机加点好奇心。去 App 商店搜 好奇怪 下载吧。