歡迎點擊右上角關注我↗
前幾天,公司的小夥伴們突然都去下載了聯通手機營業廳,仔細一問,原來是聯通公司突然搞了一波年底福利,只要大家互相分享聯通給的助力碼,就能薅一波小羊毛~
只要邀請 7 個人,就可以拿到 20 塊錢京東 E 卡,還能拿到驚喜平安夜的必中獎品,不限制運營商,管你是移動電信,甚至連固話都行,門檻低的髮指。。
俗話說的好,哪裡有福利,哪裡就有羊毛黨~
果不其然,在聯通發佈活動的當天,就有人抓住聯通不驗證手機號有效性的漏洞( 現在已開始驗證手機 ),做出外掛程序,想刷多少助力就刷多少。。
結果,羊毛黨下載下來軟件,羊毛還沒有薅到,卻反過來捱了一刀!
套路好像是去年 WannaCry 的翻版,一樣的鎖定文件加密,一樣的敲詐勒索,過了一定時間不給錢就撕票。只不過,付款方式發生了變化 —— WannaCry 用的是勒索比特幣,而這個是 110 塊的微信支付。。。
沙盒中運行的病毒
一開始這個病毒流行起來的名字叫做 “ 微信勒索病毒 ”,其實只是勒索的付款方式是微信而已,並不是微信被病毒感染了。。
不知道是比特幣最近掉價掉的太狠了,還是小夥子沒加密錢包,他放棄了一名專業黑客的流行反偵察手段——加密貨幣。。
按理說都能製作病毒了,結果勒索用的是實名制的微信/支付寶?!這操作差評君實在不懂。。。反正,微信一接到群眾的舉報,立馬就把二維碼封了。
事實證明,這個病毒製作者可能還真的是個半吊子。。國內安全軟件火絨,在這個病毒爆發的當晚 11 點半就發佈了病毒分析結果,又僅過了 7 個小時就發佈了破解病毒的工具,360 安全也在同一時間發佈瞭解密工具。
根據安全大佬們的分析,這個病毒很早就有了,只不過每天就感染那麼幾臺,一直沒有引起大家的注意。。
直到這個病毒製作者想到了一個騷操作。。
他上個月 15 號在一個專門學習易語言的網站 “ 精易論壇 ” 上分享了一個軟件~( 易語言是唯一以漢字作為程序代碼的編程語言 )
該資源已被管理員封禁
喜歡鼓搗各種小玩意兒的程序員們把它下載到電腦上,病毒便悄悄的開始工作。
病毒一方面不斷把宿主電腦上的資料傳回到病毒製作人那裡,另一方面搜尋電腦上是否有易語言編程環境,如果有的話,病毒會立馬感染易語言的核心靜態庫和精易模塊( 一種讓易語言編程更傻瓜化的編程模塊 ),這樣整個編程環境編譯出來的程序都會帶有病毒。
精易模塊被插入的惡意代碼
而且易語言因為本身的語言特性,很容易被殺毒軟件誤報殺毒,所以大部分開發易語言的程序員不會裝殺毒軟件,他們被病毒感染了很難被發現。
雖然大部分學過編程的人都不怎麼了解易語言,因為沒有幾個公司用它,但是在國內的外掛領域,易語言卻很流行。
文章一開始出現的聯通薅羊毛外掛就是通過感染了病毒的易語言環境製作出來的,以羊毛大軍的龐大程度,感染病毒的電腦嘩嘩地漲,擋都擋不住。。
可能是病毒製作者太 Naive,總想搞個大新聞。。看到感染病毒的電腦暴增,光偷數據顯得沒啥用,歪腦筋一動,決定學前輩 WannaCry 搞點零花錢。
結果技術不精,加密弱雞、支付方式天真,分分鐘就被安全大廠們摁到地上摩擦。。
而且火絨團隊順著病毒裡的信息,通過多種線索印證,確定了病毒製作者的 github 網址和詳細地不能再詳細的個人信息。。
沒想到,這位病毒製作者羅同學居然還是個 95 後。。
順藤摸瓜,火絨團隊還破解了他名下 2 臺服務器後臺,在裡面,詳細記錄了病毒爬來的數據,因為病毒內嵌了盜號木馬,所以感染病毒的電腦上天貓、支付寶、微信等各類賬戶密碼都會被盜。
除此之外,它還記錄了宿主電腦的詳細硬件信息,難道是想搞大數據分析,按條件割韭菜?
病毒回傳的數據種類
因為灰產軟件在相關開發人員之間的流通性很高,又是供應鏈汙染的傳播方式,所以潛在被感染的用戶很多。而且,病毒作者是通過 “ 雲控 ” 的方式決定是否勒索,也就是沒有出現微信勒索也不代表沒有中病毒。。
所以,如果你曾經下載過下面這些或是類似的軟件的話,最好用殺軟殺一遍才比較穩妥~
差評君在看病毒製作者的 Github 時,發現有十幾個人已經 fork 了該病毒二進制組件,所以不能排除有人想對病毒二次傳播的可能性。。
至此,國產勒索病毒事件告一段落了,國內安全團隊也把查到的相關資料交給了警方。
今天晚上,差評君又瞟了一眼羅同學的 Github,發現他在今天下午五點把文件中與病毒相關的文件內容都改成了下面這句話:
估計他自己知道天網恢恢
可惜,這一次你恐怕不能輕輕的走了。
圖片來源:
特別感謝:火絨安全團隊
差評
雷鋒網
360安全
參考資料:
火絨安全實驗室,《“微信支付”勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼》
火絨安全實驗室,《“微信支付”勒索病毒製造者被鎖定 傳播、危害和疫情終極解密》
360黑板報,《沸沸揚揚的“微信支付勒索病毒”,始作俑者竟然是個95後!》
雷鋒網,《國產勒索病毒竟然掃碼要贖金?360首家支持破解》
“ 現在做病毒的門檻也忒低了。。 ”
