還記得1年半前,那個席捲全球的比特幣勒索病毒“WannaCry”嗎?
它通過加密你電腦裡的重要文件來進行勒索,要求被害者支付比特幣才能解鎖文件。當時,我國多地的出入境、派出所等公安網疑似遭遇了病毒襲擊,不得不一度暫時停辦出入境業務;中石油旗下不少加油站也因遭受病毒襲擊一度“斷網”,使在線支付業務一度中斷;勒索病毒在我國校園網內的肆虐,甚至還導致不少畢業生的畢業設計論文被鎖。
一年半以後,當“WannaCry”逐漸被遺忘,卻又有另一個勒索病毒闖進人們的視野。只不過,在互聯網安全專家看來,這個勒索病毒的“技術水平”,比起“WannaCry”來,不知道差到哪裡去了…
不要比特幣,要微信支付
12月1日,國內首次出現了要求微信支付贖金的勒索病毒。
這款病毒的勒索方式和“WannaCry”一樣,入侵電腦運行後會加密用戶文件,但是它不收取比特幣,而是要求受害者掃描彈出的微信二維碼支付贖金。
“WannaCry”會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
這類木馬會加密受感染電腦中的docx、pdf、xlsx、jpg等114種格式文件,使其無法正常打開,並彈窗“敲詐”受害者,要求受害者支付比特幣作為“贖金”,而當時比特幣的價格約在10000元人民幣左右。
勒索病毒勒索界面(圖片來源:瑞星微信公眾號)
該勒索病毒加密文件後會彈窗提示,要求用戶在今年12月3日之前交付110元贖金解密,如果超出時間,則服務器會自動刪除密匙。
“小學生”級別的病毒
乍一看這兩種病毒都是來“要錢的”,但是一些互聯網安全團隊在經過分析後,發現要破解這個病毒其實“很簡單”。
一些互聯網安全團隊發現,該勒索病毒由易語言編寫,易語言是一門以中文作為程序代碼的編程語言,屬於初級入門級語言,從這一點就可以看出勒索病毒作者代碼水平還比較初級。而且病毒傳播者使用的“賬號操作 V3.1”等易語言工具會直接被殺毒軟件查殺
其次,該勒索病毒作者居然採用“微信支付”的方式進行勒索,要求支付110元贖金。“WannaCry”以比特幣作為贖金,這是因為黑客想利用比特幣的隱匿性來躲避追蹤。而“微信支付”的方式,對於微信團隊來說,極容易進行追蹤。(目前該二維碼已經被微信凍結)。
病毒作者微信收款二維碼(已被凍結)圖片來源:瑞星微信公眾號
同時,該勒索病毒採用簡單異或加密,且解密密鑰相關數據被存放在病毒文件中。所以即使在不訪問病毒作者服務器的情況下,也可以成功完成數據解密。
國內殺毒軟件瑞星的安全團隊甚至稱這個病毒為“小學生”級別的勒索病毒。
儘管在安全專家看來,病毒的“水平”不怎麼高,但是還是造成了不少麻煩。據環球網報道,該“微信支付”勒索病毒正在快速傳播,感染的電腦數量越來越多。病毒團伙入侵併利用豆瓣的C&C服務器,除了鎖死受害者文件勒索贖金外,還大肆偷竊支付寶等app的密碼。
首先,該病毒巧妙地利用“供應鏈汙染”的方式進行傳播,目前已經感染數萬臺電腦,而且感染範圍還在擴大;其次,該病毒還竊取用戶的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號等。
據中國新聞網報道,騰訊公司表示,微信已第一時間對所涉勒索病毒作者賬戶進行封禁、收款二維碼予以緊急凍結。微信用戶財產和賬戶安全不受任何威脅。同時,提醒廣大用戶,該勒索病毒可能通過任何形式的支付方式索要轉賬,若遭遇勒索,不要付款,及時報警。
勒索軟件每年造成上百萬美元損失
在普通人的印象中,勒索軟件好像是最近兩年才開始出現,但實際上,勒索軟件的出現距今已有近30年。
勒索軟件(英文:Ransomware)最早出現在1989年,當年,哈佛大學畢業的Joseph L.Popp創建了第一個勒索軟件病毒AIDS Trojan。
在1996年,哥倫比亞大學和IBM的安全專家撰寫了一個叫Cryptovirology的文件,明確概述了勒索軟件Ransomware的概念:利用惡意代碼干擾中毒者的正常使用,只有交錢才能恢復正常。
首次採用比特幣作為勒索金支付手段的加密勒索軟件出現在2013年底——一種被稱為CryptoLocker的病毒使用比特幣現金交易平臺收取贖金。這種方法在短短一個月內大獲成功,感染了上百萬臺電腦,並對每臺電腦收取27美元的勒索金。
根據美國聯邦調查局(FBI)近幾年發佈的《互聯網犯罪報告》(Internet Crime Report),2017年,勒索軟件在美國造成了約234萬美元的損失,2016年則為約243萬美元,而 2015 年的損失為160萬美元。
而這些數字僅僅是基於FBI收到的報案,還有很多受害者會出於“破財免災”的心理,選擇支付贖金,而不向警方報案。
編輯 |孫志成
每日經濟新聞綜合環球網、中國新聞網、瑞星公眾號等