要求受害者使用“微信支付”支付贖金的勒索病毒，目前已被破解，受感染用戶(hù)可在電腦上下載安全軟件解密。

12月5日，澎湃新聞?dòng)浾邚膸准揖W(wǎng)絡(luò)安全公司獲悉，他們已經(jīng)初步鎖定病毒制造者，嫌疑人是一名95后羅姓男子，已將這些信息移交警方。國(guó)家互聯(lián)網(wǎng)安全應(yīng)急中心已對(duì)該病毒發(fā)布通報(bào)。業(yè)內(nèi)專(zhuān)家分析，這幾年勒索病毒的數(shù)量增長(zhǎng)比較快，影響深遠(yuǎn)，但很多勒索病毒的水平不是很高。

此前的12月1日，一種新型的勒索病毒在國(guó)內(nèi)爆發(fā)，多名用戶(hù)稱(chēng)，其電腦感染一款使用手機(jī)掃碼支付作為贖金支付渠道的病毒。

12月5日，據(jù)國(guó)家互聯(lián)網(wǎng)安全應(yīng)急中心報(bào)告，該病毒采用“供應(yīng)鏈感染”方式進(jìn)行傳播，通過(guò)論壇傳播植入病毒的“易語(yǔ)言”編程軟件，進(jìn)而植入各開(kāi)發(fā)者開(kāi)發(fā)的軟件，傳播勒索病毒;同時(shí)，該病毒還竊取用戶(hù)的賬號(hào)密碼，包括淘寶、天貓、支付寶、QQ等。

該勒索病毒在感染用戶(hù)計(jì)算機(jī)后不會(huì)勒索比特幣，而是彈出微信支付二維碼，要求受感染用戶(hù)使用微信支付110元，從而獲得解密密鑰，這也是國(guó)內(nèi)首次出現(xiàn)要求使用微信支付的勒索病毒。

目前，騰訊微信團(tuán)隊(duì)判定該支付二維碼存在違規(guī)行為，所涉勒索病毒作者賬戶(hù)已被封禁、收款二維碼被緊急凍結(jié)。此外，微信方面強(qiáng)調(diào)，這款勒索病毒是電腦病毒，跟手機(jī)沒(méi)有關(guān)系，微信也沒(méi)有出現(xiàn)病毒，不管是蘋(píng)果手機(jī)還是安卓手機(jī)，都不會(huì)被感染。

支付寶安全中心表示，目前沒(méi)有一例支付寶賬戶(hù)受到影響。支付寶稱(chēng)，針對(duì)此類(lèi)風(fēng)險(xiǎn)，支付寶風(fēng)控系統(tǒng)早有針對(duì)性的防護(hù)，包括二次校驗(yàn)短信校驗(yàn)碼、人臉識(shí)別等。即便密碼泄露，也能最大程度地確保賬戶(hù)安全。

據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估，截至12月4日晚，該病毒至少感染了10萬(wàn)臺(tái)電腦，不光鎖死電腦文件，還竊取了數(shù)萬(wàn)條淘寶、支付寶等平臺(tái)的用戶(hù)密碼等信息。

火絨團(tuán)隊(duì)通過(guò)逆向分析病毒的下發(fā)指令，解密出其中2臺(tái)病毒服務(wù)器，發(fā)現(xiàn)大量被病毒竊取的用戶(hù)個(gè)人信息。僅1臺(tái)用于存儲(chǔ)數(shù)據(jù)的病毒服務(wù)器，就存放了竊取來(lái)的淘寶、支付寶等賬戶(hù)密碼兩萬(wàn)余條。其中，淘寶、天貓、支付寶的賬戶(hù)密碼數(shù)據(jù)最多。

被盜賬戶(hù)密碼的信息數(shù)據(jù)統(tǒng)計(jì)。本文圖均為火絨安全 圖

另?yè)?jù)360團(tuán)隊(duì)分析，查到已受感染的電腦軟件超過(guò)900款。據(jù)了解，其中多數(shù)是“薅羊毛”類(lèi)灰色軟件。

據(jù)騰訊電腦管家檢測(cè)，目前全網(wǎng)中招用戶(hù)已經(jīng)過(guò)萬(wàn)。

目前，騰訊電腦管家、360安全衛(wèi)士、火絨都已破解這款新型的勒索病毒，用戶(hù)可通過(guò)這些安全軟件進(jìn)行防御。

這樣一個(gè)影響面巨大的勒索病毒，始作俑者可能是一個(gè)95后。

疑似病毒作者QQ號(hào)界面

疑似病毒作者相關(guān)信息

12月5日，澎湃新聞?dòng)浾邚幕鸾q安全團(tuán)隊(duì)了解到，經(jīng)過(guò)進(jìn)一步分析，火絨團(tuán)隊(duì)發(fā)現(xiàn)所有相關(guān)信息都指向同一主體——姓名(羅**)、手機(jī)(1********45)、QQ(1*****86)、旺旺賬號(hào)名(l****96)、郵箱(29*****@qq.com)。12月4日晚，火絨已將上述個(gè)人信息，和被竊取的受害用戶(hù)支付寶密碼等信息，一并交給警方。

360安全專(zhuān)家從多個(gè)用戶(hù)機(jī)器提取和后臺(tái)數(shù)據(jù)追溯，也追蹤到了同一位病毒制造者，病毒作者指向一個(gè)95后白羊座黑客。

網(wǎng)友對(duì)話(huà)黑客嫌疑人QQ

12月4日晚，有微博用戶(hù)通過(guò)QQ與這名黑客取得聯(lián)系，該名男子稱(chēng)“十萬(wàn)多條被刪”，“打lol中(編注：《英雄聯(lián)盟》游戲)”。

騰訊電腦管家團(tuán)隊(duì)認(rèn)為，目前，雖然不清楚具體的總贖金金額，但由于該病毒沒(méi)有自我擴(kuò)散能力，基本不會(huì)大規(guī)模擴(kuò)散。

安全專(zhuān)家李鐵軍告訴澎湃新聞?dòng)浾撸《颈旧韺?xiě)得很爛，很輕松就完全解密了，專(zhuān)業(yè)的病毒作者恐怕也不會(huì)實(shí)名制的移動(dòng)支付二維碼收錢(qián)。

這類(lèi)直接感染源代碼或代碼編譯程序手法，安全行業(yè)從業(yè)者應(yīng)該不陌生。

2015年9月，就曾出現(xiàn)過(guò)震驚世界的iOS應(yīng)用感染XCodeGhost病毒的事件。由于大量蘋(píng)果開(kāi)發(fā)者使用了被感染的XCode開(kāi)發(fā)工具，導(dǎo)致眾多iOS應(yīng)用攜帶了惡意代碼，盜取用戶(hù)信息。這其中甚至包括了很多幾乎所有人都會(huì)使用的一些“必備應(yīng)用”，也均未能幸免。

360安全專(zhuān)家告訴澎湃新聞?dòng)浾?，這次微信支付勒索病毒，類(lèi)似于2016年蘋(píng)果公司iOS爆出的XCodeGhost事件，都利用開(kāi)發(fā)程序工具作為病毒傳播的載體，通過(guò)下載開(kāi)發(fā)再下載的路徑進(jìn)行擴(kuò)散。有行業(yè)人士調(diào)侃，這個(gè)操作“不高級(jí)”。

受感染軟件

 

值得注意的是，受到微信支付勒索病毒感染的電腦軟件，大多是“薅羊毛”類(lèi)灰色軟件。這類(lèi)軟件多如牛毛，在流量為王的時(shí)代，邀請(qǐng)已經(jīng)成為流量導(dǎo)入的利器，甚至孕育了一個(gè)龐大的灰色產(chǎn)業(yè)鏈，利用甚至開(kāi)發(fā)各種邀請(qǐng)軟件導(dǎo)入流量的不計(jì)其數(shù)。病毒制造者正是利用這點(diǎn)，將感染“微信支付”勒索病毒以指數(shù)級(jí)速度散布開(kāi)去。

附：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心提醒廣大用戶(hù)及時(shí)采取如下措施進(jìn)行防范

1、安裝并及時(shí)更新殺毒軟件，目前市場(chǎng)主流反病毒軟件都已支持針對(duì)該勒索病毒的防護(hù)與查殺。

2、不要輕易打開(kāi)來(lái)源不明的軟件，該勒索病毒通過(guò)易語(yǔ)言編寫(xiě)的程序傳播，減少使用來(lái)源不明的軟件可有效預(yù)防。

3、如已經(jīng)感染勒索病毒，可使用相關(guān)解密工具嘗試解密。目前，許多公司已經(jīng)針對(duì)該勒索病毒開(kāi)發(fā)了解密工具，包括火絨Bcrypt專(zhuān)用解密工具、騰訊電腦管家“文檔守護(hù)者”、360安全衛(wèi)士“360解密大師”等。

4、已感染勒索病毒的用戶(hù)，在清除病毒后，盡快修改淘寶、天貓、支付寶、QQ等敏感平臺(tái)的密碼。

5、定期在不同的存儲(chǔ)介質(zhì)上備份計(jì)算機(jī)中的重要文件。（作者：楊鑫倢?zhuān)?/p>

關(guān)鍵詞： 微信支付 贖金 病毒