北屋northhouse

北屋工作室 - 中国生存主义和灾难信息第一站

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

2018-12月-07 周五 08:55 +0800

  业界首个安全自媒体,关注黑客、黑产和黑幕。

  12月2日,黑奇士(id hqssima)报道,“微信赎金”(也称微信支付)病毒在国内爆发,这是全球首例利用微信支付索取赎金的勒索病毒。

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

  目前该事件已有最新进展:有网络媒体爆出犯罪嫌疑人的详细信息,包括:姓名、生日、微信号、手机号、邮箱、豆瓣主页等,其详细程度已经足够让警方进行抓捕。(截至发稿时为止,警方尚未有病毒作者被捕的消息。但信息已经公布到这个程度,如果再抓不到人,那就……)

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

  (公布嫌疑人信息的网页截图)

  据网上的帖子称,“微信赎金”的作者罗某某,曾在重庆某电脑培训学校就读,其在百度问答里曾表示:“(在这个学校)第一个学期什么都不学……你一定会后悔”。

  瑞星安全专家向黑奇士表示,病毒嫌疑人的登陆IP位于东莞。这个情况可以跟网帖中的“罗某疑似重庆人,在东莞打工”相互印证。

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

  (嫌疑人的后台登陆记录)

  不要慌:勒索病毒只感染电脑,跟微信无关

  自事件爆出以来,多数媒体均采用“微信赎金”、“微信支付病毒”等称呼该病毒,媒体的大量报道给普通网民带来了巨大困扰,尤其是对电脑知识了解不多的大爷大妈们,还以为这个病毒会通过微信传播,甚至出现了卸载微信的极端案例。

  瑞星安全专家表示,这个勒索病毒基于电脑操作系统,不是手机病毒,且对微信、支付宝不会造成影响,网民可放心使用这些常见手机支付方式。另外,根据病毒编写水平、影响范围、病毒危害和解密难度等维度分析,该病毒在勒索病毒中的威胁等级只能排名2颗星,整体属于危害较小的水平。

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

  专家称,该病毒之所以引起广泛关注,主要是因为在病毒作者勒索赎金时,没有使用黑客普遍采用的比特币等方式,而是明目张胆地使用微信支付。致使许多没有专业知识、没仔细阅读新闻,只看了新闻标题的普通用户产生误解。

  病毒技术水平不高,定向传染,普通用户很少中毒

  黑奇士拿到了瑞星公司的勒索病毒分析报告,报告指出:

  “病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径‘供应链污染’”

  所谓“供应链污染”,指的是罗某某在易语言专业论坛上活跃,通过发帖、曝光等方式获取知名度,然后向论坛网友提供经过修改的易语言库。

  由于该论坛在易语言开发者中具有一定知名度,当有开发者下载使用罗某提供的易语言模块时,其电脑就会被感染。因此中毒用户仅限于开发者范围,普通用户中毒机会较小。

  黑奇士查询该论坛发现,客服在12月5日发布官方通告称,“(罗某)在分享源码中带有一个被修改过的精易模块,模块里面包含恶意代码,通过在线下载木马程序对电脑进行感染,被感染用户的电脑的易语言和精易模块会被修改并插入木马程序,经我们分析,这个木马程序主要是监控电脑的键盘记录,包括支付宝、天猫等平台的账号密码并上传到对方数据库”

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

  通告称,将该用户的详细资料提供给警方,已报案处理。

  密码放在公开博客网站 这个嫌疑人有点“傻”

  瑞星病毒分析报告中指出,该病毒具有三大特点:

  1、加密算法简单,被勒索文件可以完全还原。相比于国外流行的勒索使用对称非对称加密算法,该勒索病毒使用加密手法相对较弱。从中可以看出该病毒作者对加密算法掌握不深。(黑奇士注:所以把密钥放在了本地,可以让各家安全厂商轻易解密。这也跟病毒作者毕业于电脑培训学校的经历相互印证)

  2、该病毒不会大范围爆发,感染范围可控。中毒者都是在不知情的情况下运行了被插入病毒代码的软件,没有利用任何漏洞进行传播,所以病毒受害者范围都会控制在使用病毒软件的范围内,不会对其他未使用带毒软件的用户造成任何影响。

  这就说明该病毒不可能大规模、大范围的爆发。同时该病毒的易感人群为易语言爱好者,被植入病毒代码的软件大部分为黑灰产软件,对于普通人来说不用太担心。

  3、公开博客中包含服务器密码,这个嫌疑人有点“傻”。

  病毒嫌疑人先通过易语言论坛传播带有木马的模块,这些模块会每天去访问特定网站,等待激活指令(我怎么想起了电视剧《潜伏》),这些网站包含豆瓣、Github等5个网站。

  在潜伏了将近2个月、积累了足够的感染用户之后,嫌疑人才向病毒发出指令,引导其爆发。给人一种“突然爆发、中毒用户”很多的假象。

  瑞星分析指出,在豆瓣等公开博客网站中,包含了嫌疑人的服务器通用密码,专家使用这些密码,可以登陆该嫌疑人的微博、百度、360、爱奇艺中关村(000931,股吧)在线、印象笔记等网站,通过这些网站也暴露了病毒作者的真实身份。

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

  (嫌疑人的个人页面)

  用四川话讲,这是个瓜娃子!用北京话说,这人四不四傻!

  瑞星统计了潜在中毒者的地域分布,通过分析发现,几乎全国各地都有感染,排名靠前的有四川、河南和广东。

以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校

  向“潜伏”的中毒电脑发布命令的豆瓣日志已删除,github上的C2地址也已被删除,估计是病毒作者所删。病毒作者持有的那个域名目前暂时不能解析,剩下两个被瑞星Sinkhole了,但病毒潜在的威胁仍然存在。

  威胁存在于github和作者持有的域名上,那两个地址随时可能被病毒作者启用,投递其的恶意病毒,此次投递的是可解密的勒索病毒,下次可能就是升级版的不可解密的勒索病毒。

  目前,瑞星公司所有产品均可对其进行拦截。

  黑奇士曾在12月2日率先报道该病毒,详细可点击这里:

  首例“微信赎金”病毒,弹二维码索要110元

  安全自媒体,主要关注黑客、黑产和黑幕。

  京东假茅台(600519,股吧)案、顺丰内鬼案等业界新闻的首曝媒体

  作品刊发于新浪、搜狐、头条、一点、知乎、微信公众号等十余个主流自媒体平台,日均阅读10万以上。

本文首发于微信公众号:黑奇士。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。

(责任编辑: HN666)
最新资讯和灾难信息, 灾难信息 , , 北屋的k 以为是王者结果是个青铜:微信支付病毒嫌疑人疑毕业于重庆某电脑培训学校已关闭评论
阅读量: 8

Comments

Comments are closed.