返回列表 发帖
hacked

Rank: 7Rank: 7Rank: 7

帖子
104 
积分
金钱
0  

核心成员勋章优秀版主勋章
1# 跳转到 » 倒序看帖
打印
tT
发表于 2018-12-9 18:39 | 只看该作者

[转载] 以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

王者, 青铜, 病毒

业界新闻动态

新闻来源(URL) https://mp.weixin.qq.com/s/5hIqrGv8G2NeswT61A0Rhg
新闻概要 12月2日,黑奇士(id hqssima)报道,“微信赎金”(也称微信支付)病毒在国内爆发,这是全球首例利用微信支付索取赎金的勒索病毒。
12月2日,黑奇士(id hqssima)报道,“微信赎金”(也称微信支付)病毒在国内爆发,这是全球首例利用微信支付索取赎金的勒索病毒。

640.jpg

目前该事件已有最新进展:有网络媒体爆出犯罪嫌疑人的详细信息,包括:姓名、生日、微信号、手机号、邮箱、豆瓣主页等,其详细程度已经足够让警方进行抓捕。(截至发稿时为止,警方尚未有病毒作者被捕的消息。但信息已经公布到这个程度,如果再抓不到人,那就……)

640.jpg
(公布嫌疑人信息的网页截图)

据网上的帖子称,“微信赎金”的作者罗某某,曾在重庆某电脑培训学校就读,其在百度问答里曾表示:“(在这个学校)第一个学期什么都不学……你一定会后悔”。

瑞星安全专家向黑奇士表示,病毒嫌疑人的登陆IP位于东莞。这个情况可以跟网帖中的“罗某疑似重庆人,在东莞打工”相互印证。

640.jpg
(嫌疑人的后台登陆记录)

不要慌:勒索病毒只感染电脑,跟微信无关

自事件爆出以来,多数媒体均采用“微信赎金”、“微信支付病毒”等称呼该病毒,媒体的大量报道给普通网民带来了巨大困扰,尤其是对电脑知识了解不多的大爷大妈们,还以为这个病毒会通过微信传播,甚至出现了卸载微信的极端案例。

瑞星安全专家表示,这个勒索病毒基于电脑操作系统,不是手机病毒,且对微信、支付宝不会造成影响,网民可放心使用这些常见手机支付方式。另外,根据病毒编写水平、影响范围、病毒危害和解密难度等维度分析,该病毒在勒索病毒中的威胁等级只能排名2颗星,整体属于危害较小的水平。

640.jpg

专家称,该病毒之所以引起广泛关注,主要是因为在病毒作者勒索赎金时,没有使用黑客普遍采用的比特币等方式,而是明目张胆地使用微信支付。致使许多没有专业知识、没仔细阅读新闻,只看了新闻标题的普通用户产生误解。

病毒技术水平不高,定向传染,普通用户很少中毒

黑奇士拿到了瑞星公司的勒索病毒分析报告,报告指出:

“病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径‘供应链污染’”

所谓“供应链污染”,指的是罗某某在易语言专业论坛上活跃,通过发帖、曝光等方式获取知名度,然后向论坛网友提供经过修改的易语言库。

由于该论坛在易语言开发者中具有一定知名度,当有开发者下载使用罗某提供的易语言模块时,其电脑就会被感染。因此中毒用户仅限于开发者范围,普通用户中毒机会较小。

黑奇士查询该论坛发现,客服在12月5日发布官方通告称,“(罗某)在分享源码中带有一个被修改过的精易模块,模块里面包含恶意代码,通过在线下载木马程序对电脑进行感染,被感染用户的电脑的易语言和精易模块会被修改并插入木马程序,经我们分析,这个木马程序主要是监控电脑的键盘记录,包括支付宝、天猫等平台的账号密码并上传到对方数据库”

640.jpg

通告称,将该用户的详细资料提供给警方,已报案处理。

密码放在公开博客网站 这个嫌疑人有点“傻”

瑞星病毒分析报告中指出,该病毒具有三大特点:

1、加密算法简单,被勒索文件可以完全还原。相比于国外流行的勒索使用对称非对称加密算法,该勒索病毒使用加密手法相对较弱。从中可以看出该病毒作者对加密算法掌握不深。(黑奇士注:所以把密钥放在了本地,可以让各家安全厂商轻易解密。这也跟病毒作者毕业于电脑培训学校的经历相互印证)

2、该病毒不会大范围爆发,感染范围可控。中毒者都是在不知情的情况下运行了被插入病毒代码的软件,没有利用任何漏洞进行传播,所以病毒受害者范围都会控制在使用病毒软件的范围内,不会对其他未使用带毒软件的用户造成任何影响。

这就说明该病毒不可能大规模、大范围的爆发。同时该病毒的易感人群为易语言爱好者,被植入病毒代码的软件大部分为黑灰产软件,对于普通人来说不用太担心。

3、公开博客中包含服务器密码,这个嫌疑人有点“傻”。

640.jpg
(嫌疑人的个人页面)

用四川话讲,这是个瓜娃子!用北京话说,这人四不四傻!

瑞星统计了潜在中毒者的地域分布,通过分析发现,几乎全国各地都有感染,排名靠前的有四川、河南和广东。

640.jpg

向“潜伏”的中毒电脑发布命令的豆瓣日志已删除,github上的C2地址也已被删除,估计是病毒作者所删。病毒作者持有的那个域名目前暂时不能解析,剩下两个被瑞星Sinkhole了,但病毒潜在的威胁仍然存在。

威胁存在于github和作者持有的域名上,那两个地址随时可能被病毒作者启用,投递其的恶意病毒,此次投递的是可解密的勒索病毒,下次可能就是升级版的不可解密的勒索病毒。

目前,瑞星公司所有产品均可对其进行拦截。
收藏 分享

返回列表