首页
排行榜
提交
国别统计
免责申明
注册
登录
全球被黑站点统计系统论坛 - Hacked.com.cn
»
安全资讯
» 以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校
返回列表
发帖
hacked
发短消息
加为好友
hacked
当前离线
UID
3
帖子
104
精华
0
积分
0
阅读权限
100
在线时间
15 小时
注册时间
2018-12-5
最后登录
2020-7-8
版主
帖子
104
积分
0
金钱
0
1
#
跳转到
»
倒序看帖
打印
字体大小:
t
T
发表于 2018-12-9 18:39
|
只看该作者
[转载] 以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校
王者
,
青铜
,
病毒
业界新闻动态
新闻来源(URL)
https://mp.weixin.qq.com/s/5hIqrGv8G2NeswT61A0Rhg
新闻概要
12月2日,黑奇士(id hqssima)报道,“微信赎金”(也称微信支付)病毒在国内爆发,这是全球首例利用微信支付索取赎金的勒索病毒。
12月2日,黑奇士(id hqssima)报道,“微信赎金”(也称微信支付)病毒在国内爆发,这是全球首例利用微信支付索取赎金的勒索病毒。
下载
(99.51 KB)
2018-12-9 18:34
目前该事件已有最新进展:有网络媒体爆出犯罪嫌疑人的详细信息,包括:姓名、生日、微信号、手机号、邮箱、豆瓣主页等,其详细程度已经足够让警方进行抓捕。(截至发稿时为止,警方尚未有病毒作者被捕的消息。但信息已经公布到这个程度,如果再抓不到人,那就……)
下载
(38.03 KB)
2018-12-9 18:34
(公布嫌疑人信息的网页截图)
据网上的帖子称,“微信赎金”的作者罗某某,曾在重庆某电脑培训学校就读,其在百度问答里曾表示:“(在这个学校)第一个学期什么都不学……你一定会后悔”。
瑞星安全专家向黑奇士表示,病毒嫌疑人的登陆IP位于东莞。这个情况可以跟网帖中的“罗某疑似重庆人,在东莞打工”相互印证。
下载
(43 KB)
2018-12-9 18:35
(嫌疑人的后台登陆记录)
不要慌:勒索病毒只感染电脑,跟微信无关
自事件爆出以来,多数媒体均采用“微信赎金”、“微信支付病毒”等称呼该病毒,媒体的大量报道给普通网民带来了巨大困扰,尤其是对电脑知识了解不多的大爷大妈们,还以为这个病毒会通过微信传播,甚至出现了卸载微信的极端案例。
瑞星安全专家表示,这个勒索病毒基于电脑操作系统,不是手机病毒,且对微信、支付宝不会造成影响,网民可放心使用这些常见手机支付方式。另外,根据病毒编写水平、影响范围、病毒危害和解密难度等维度分析,该病毒在勒索病毒中的威胁等级只能排名2颗星,整体属于危害较小的水平。
下载
(54.24 KB)
2018-12-9 18:36
专家称,该病毒之所以引起广泛关注,主要是因为在病毒作者勒索赎金时,没有使用黑客普遍采用的比特币等方式,而是明目张胆地使用微信支付。致使许多没有专业知识、没仔细阅读新闻,只看了新闻标题的普通用户产生误解。
病毒技术水平不高,定向传染,普通用户很少中毒
黑奇士拿到了瑞星公司的勒索病毒分析报告,报告指出:
“病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径‘供应链污染’”
所谓“供应链污染”,指的是罗某某在易语言专业论坛上活跃,通过发帖、曝光等方式获取知名度,然后向论坛网友提供经过修改的易语言库。
由于该论坛在易语言开发者中具有一定知名度,当有开发者下载使用罗某提供的易语言模块时,其电脑就会被感染。因此中毒用户仅限于开发者范围,普通用户中毒机会较小。
黑奇士查询该论坛发现,客服在12月5日发布官方通告称,“(罗某)在分享源码中带有一个被修改过的精易模块,模块里面包含恶意代码,通过在线下载木马程序对电脑进行感染,被感染用户的电脑的易语言和精易模块会被修改并插入木马程序,经我们分析,这个木马程序主要是监控电脑的键盘记录,包括支付宝、天猫等平台的账号密码并上传到对方数据库”
下载
(51.32 KB)
2018-12-9 18:36
通告称,将该用户的详细资料提供给警方,已报案处理。
密码放在公开博客网站 这个嫌疑人有点“傻”
瑞星病毒分析报告中指出,该病毒具有三大特点:
1、加密算法简单,被勒索文件可以完全还原。
相比于国外流行的勒索使用对称非对称加密算法,该勒索病毒使用加密手法相对较弱。从中可以看出该病毒作者对加密算法掌握不深。(黑奇士注:所以把密钥放在了本地,可以让各家安全厂商轻易解密。这也跟病毒作者毕业于电脑培训学校的经历相互印证)
2、该病毒不会大范围爆发,感染范围可控。
中毒者都是在不知情的情况下运行了被插入病毒代码的软件,没有利用任何漏洞进行传播,所以病毒受害者范围都会控制在使用病毒软件的范围内,不会对其他未使用带毒软件的用户造成任何影响。
这就说明该病毒不可能大规模、大范围的爆发。同时该病毒的易感人群为易语言爱好者,被植入病毒代码的软件大部分为黑灰产软件,对于普通人来说不用太担心。
3、公开博客中包含服务器密码,这个嫌疑人有点“傻”。
下载
(20.88 KB)
2018-12-9 18:37
(嫌疑人的个人页面)
用四川话讲,这是个瓜娃子!用北京话说,这人四不四傻!
瑞星统计了潜在中毒者的地域分布,通过分析发现,几乎全国各地都有感染,排名靠前的有四川、河南和广东。
下载
(96.4 KB)
2018-12-9 18:38
向“潜伏”的中毒电脑发布命令的豆瓣日志已删除,github上的C2地址也已被删除,估计是病毒作者所删。病毒作者持有的那个域名目前暂时不能解析,剩下两个被瑞星Sinkhole了,但病毒潜在的威胁仍然存在。
威胁存在于github和作者持有的域名上,那两个地址随时可能被病毒作者启用,投递其的恶意病毒,此次投递的是可解密的勒索病毒,下次可能就是升级版的不可解密的勒索病毒。
目前,瑞星公司所有产品均可对其进行拦截。
收藏
分享
返回列表
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]