“微信勒索病毒”全紀實:打擾了,我只是病毒界的楊超越_風聞
观察者网用户_243785-2018-12-07 12:24
文 |史中
你要相信,這世界上總有那麼一種人,自己沒想火,卻一夜之間火得媽都不認識。比如參加選秀就是為了2000塊錢+盒飯的楊超越。
病毒的世界亦是如此。
前兩天,有一個病毒用一種混不吝的姿勢衝進了所有人的視野,衝進了百度的熱搜榜首。它的名字叫“微信支付勒索病毒”。搞得微信慌忙出來發聲明。。。
奇葩的是,就在第二天,又有一個病毒用同樣混不吝的姿勢衝到了百度熱搜榜首。它的名字叫“支付寶病毒”。搞得支付寶又跑出來發聲明。。。
最奇葩的是,吃瓜羣眾研究了一圈兒,發現“微信病毒”和“支付寶病毒”竟然TMD是同一個病毒。。。
連支付寶都懵逼了,發了個微博求助。。。
不能更奇葩的是,如果按照瓜友這種命名規則,這個病毒實際上應該叫:“微信支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒”。。。
聽上去真是一個要上天的病毒啊,作者肯定是個**“密室SM中華田園風騷鐵骨我擦嘞鬧不住俠”**吧?
然鵝,就在大家一臉懵逼的時候,羣眾們已經迅雷不及掩耳盜鈴地扒出了病毒作者的姓名、生日、手機號等等全部身份信息。
他居然是一個黏在電腦前面每天 LOL 的1996年小鮮肉。。。
説實話,中哥自認見多識廣,看到這些劇情都慌得一批。
為了搞清事實的真相,我專門去拜訪了一位好盆友,他就是 360 安全衞士的安全專家王亮。
王亮和他的好朋友手紙君
聽亮哥講完故事的來龍去脈,整個過程我眼睛都沒眨。。。這時我才確認,這個瓜比想象中狗血一百倍。
這是一個《有中國特色的勒索故事》。。。
下面故事開始。
(1)究竟誰感染了“微信勒索病毒”——羊毛黨的起義
2018年12月1號,這天是週六,北京籠罩在香醇的霧霾中。
亮哥宅在家,通過電腦監控着世界各地的病毒動向。
突然,“嗶嗶嗶嗶嗶嗶”後台的申訴系統彈出幾十封告警。亮哥高呼一聲“納尼!!!”
這個系統相當於用户的“求救信號”。一般情況下,它是很安靜的,除非用户覺得有些重大病毒被安全衞士給漏掉了,才會拼命向專家團隊發射“求救信號”。
亮哥一看,事有蹊蹺。這幾十封郵件,全都在投訴一個問題——自己電腦上的文件被莫名其妙的病毒給莫名其妙地給加密了,更雷的是,居然彈出一個微信收款碼,説是隻要110塊,就能幫你解密文件。。。
推薦使用微信支付,講究。
看到這個效果,亮哥有點凌亂。他凌亂在兩點:
第一、用微信支付碼做勒索,跟在派出所裏搶劫沒啥區別。警察一查微信的實名認證就能破案,這屬於典型的“自殺式勒索”,説明作者智商捉急。。。
第二、林子大了什麼鳥都有。雖然用微信、支付寶作為收款途徑的勒索病毒,亮哥也不是沒見過,但那些病毒一般都製作得非常劣質,還沒等傳播呢,就被各種殺軟直接秒掉。這個病毒居然不知為何能“逃”過安全衞士的監控,説明作者相當厲害。。。
那麼問題來了——這不科學啊,病毒的作者究竟是聰明還是傻呢?
按照規矩,亮哥團隊會挨個聯繫用户,詢問他們究竟發生了神馬,然後嘗試遠程幫助他們排查電腦的問題。
查了一圈,亮哥更困惑了。幾乎所有人電腦裏都安裝了型號不一的“薅羊毛程序”和“外掛程序”,而這些薅羊毛程序明明被殺毒軟件報毒了,卻又被用户強制拉回了信任白名單裏。。。
比如像這樣薅京東羊毛的↓↓↓
還有這樣的↓↓↓
還有這樣輔助拼多多發貨的↓↓↓
把薅羊毛和外掛程序拿過來一看,果然就是他們,偷偷從網上下載了帶有勒索功能的病毒木馬,也就是那個“微信支付勒索病毒”。。。
問了一圈,亮哥才明白,原來這些薅羊毛程序,本來就是天天在法律的邊緣瘋狂試探,殺毒軟件經常會把它們判斷為病毒,於是羊毛黨們下載了薅羊毛程序,第一件事就是順手把它們拉進白名單裏,告訴殺軟:“自家兄弟,有話好説。。。”
這回可好,帶着勒索病毒的薅羊毛程序,也被歸為自家兄弟,殺毒軟件被用户“強制旁觀”,文件都被加密了。。。
(當然,很多帶病毒的薅羊毛程序並沒有被用户拉進白名單,它們都順理成章地被殺毒軟件幹掉了,電腦也不會被加密勒索,這些不在今天的故事裏。)
文件被加密了之後什麼樣呢?就是下面這樣:
亮哥給我截了個圖,展示的就是文件被加密以後,所有的 txt、docx、jpg 都打不開,打開也是亂碼。
(2)你知道病毒作者有多努力嗎?
説了半天,“羊毛黨的起義”原來是一場大型烏龍,是他們自己把病毒放行的。但事情已經發生了,現在重要的問題在於:已經被病毒加密的電腦,有沒有辦法搶救回來呢???
接下來我們來研究一下這個病毒。注意,這個病毒是個**“勒索病毒”**,勒索病毒是有尊嚴的。
一般情況下,勒索病毒會調用 Windows 內部的加密機制,三行代碼搞定,鎖死你電腦上的文件,再厲害的密碼專家都解不開。
這個“微信支付勒索病毒”就厲害了,作者自己寫了一個幾百行的代碼,彷彿用盡了畢生的氣力來書寫一個你永世都難以解開的謎題。
然鵝,這個加密程序卻用了作者自創的“民科加密法”,只需要用工具稍微一算就能解開。。。
哭笑不得的亮哥定睛一看,不對!
這個加密算法,運行一次是加密的效果。如果運行兩次,也就是加密的基礎上再加密,代碼又會變成和加密之前一模一樣。。。就像一枚硬幣,翻一次看到背面,翻兩次還是正面朝上。。。。(注意,實現反轉的話,病毒程序的代碼要做微調,小白勿試,後果自負。)
已經生無可戀的亮哥又定睛一看,還是不對。。。
加密之後的秘鑰,就靜悄悄地躺在硬盤上。這大概就像:你用一把鎖把人家的家門給鎖上,然後把鑰匙放在門下的腳墊裏。。。然後大搖大擺地説,打錢!
Key文件就存在硬盤裏。。。
怎麼説呢,病毒代碼的每一行,都能透出作者的不甘平庸,但是最終的效果只能證明,作者盡力了。。。
12月1號晚上,亮哥把病毒分析報告傳給一位同事,讓他去開發一套“專殺工具”。工具當然不太複雜,同事熬了一下夜,第二天早晨就把專殺工具提交360安全衞士上線,這個不在話下。
再回頭看亮哥,既然知道病毒造成的一切破壞都有辦法還原,基本就放心了。接下來,他準備帶着兄弟們去追查一下這個病毒究竟是何方神聖。
(3)微信、支付寶以及十大互聯網公司躺槍
講真,病毒界和我們人類世界一樣,也能分出三六九等。
如果病毒作者買很多服務器,然後把病毒放在裏面,誘騙其他電腦來訪問,那麼這就屬於病毒界的王思聰。。。
如果病毒作者只是黑了人家的服務器,然後偷偷地“借用”人家的服務器來傳播病毒,那這就是病毒界的屌絲。。。
今天這位“微信勒索病毒”屬於哪種呢?它稱得上是屌絲中的戰鬥絲。。。
直接説原理。把大象裝冰箱分三步,這套病毒的工作原理,也分三步:
第一步:用户下載了薅羊毛程序之後,這個程序會偷偷“逛豆瓣”。。。
是的,你沒看錯,這個薅羊毛程序就是會訪問豆瓣。當然,它並不是文藝小清新,而是從豆瓣的一個網頁裏,讀取攻擊指令。
就是這個網頁了,原貼已被刪,感謝百度快照。。。
本來被用來寫影評的地方,寫了這麼一堆亂碼,程序讀了它,就接受到了一個指令,去哪裏下載什麼東西。
第二步:“逛豆瓣”之後,它會去“逛QQ空間”
豆瓣頁面裏的指令,指向一個 QQ空間,在這個QQ空間裏,有張小女孩的圖片。這不是一個普通的小女孩,你看,它的分辨率只有530*456,但是它的大小卻有6.98M。。。
因為在這個圖片背後,貼着一個“下載器”,可以訪問指定的地址下載另一個程序。
(把這張圖片解壓之後,能解出這麼一堆文件。。。)
這個指定的地址是哪裏呢?還是豆瓣。。。。去豆瓣幹什麼呢?還是跳到QQ空間找另一個“下載器”。就這麼循環了三次,下載了一堆形態各異的下載器。終於,最後一個下載器把劇情推進到了第三步。
第三步:下載勒索病毒。
最後一個下載器,終於從QQ空間裏拿回了兩樣東西:這第一樣我們等下再説,這第二樣就是勒索病毒本尊。後面的故事就是把用户電腦上的文件加密,然後彈出微信支付二維碼,大家都知道了。
以防你沒明白,中哥畫張圖。簡單來説就是薅羊毛程序下載了一串下載器,最後一個下載器下載了勒索病毒。
你看,整個勒索流程下來。它把惡意指令藏到豆瓣,把惡意程序藏到 QQ 空間,自己不僅連個服務器都不用買,而且連服務器都不用偷。
**直接利用豆瓣和QQ的免費服務,**黑客攻擊的成本是:零。。。
聽到這,中哥已經跪服了。。。這個病毒的作者肯定是個勤儉持家的好孩子。每勒索一票賺110塊,都是淨利潤啊。。。
主線劇情進行到這,卻又出現了一個支線劇情。
那就是我們剛才賣的關子,最後一個下載器從 QQ 空間拿回了兩樣東西,除了勒索病毒,另一個是神馬呢?
沒錯,就是用來記錄用户密碼的程序。
問:它都可以用來記錄什麼密碼呢?
答:支付寶、京東、網易163郵箱、微博、百度雲盤、QQ網頁版、天貓、旺旺、酷狗、迅雷。
其中,支付寶的安全做得最好。一般情況下,用户在支付寶頁面輸入密碼的時候,支付寶會探測有沒有記錄程序在偷偷記錄密碼。所以,為了繞過支付寶的檢查,黑客在支付寶的網頁之上生成了一個一模一樣的窗口,蓋住原本的密碼框,騙用户輸入密碼。。。
這就是為神馬到了第二天,這個病毒又被稱為“支付寶病毒”的原因了。。。。
至此,微信和支付寶躺槍的過程完畢。
這個病毒之所以被叫做“微信勒索病毒”,是因為它通過微信支付勒索錢財。
這個病毒之所以被叫做“支付寶病毒”,是因為它試圖盜取用户的支付寶密碼。
然鵝,平胸而論,這個病毒並沒有只盜取支付寶的密碼啊。。。如果它盜取誰的密碼就用誰命名的話,這個病毒應該叫做:
“支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒”
那麼這個病毒究竟盜取了多少人的賬號和密碼呢?賣個關子,最後會揭曉。
我們繼續順着病毒追查。既然已經得知這麼多信息,接下來就可以試着尋找病毒作者究竟是誰了。
(4)病毒作者浮出水面
事到如今,你已經能體會這位病毒作者童鞋的風格了:雖然他破“腚”百出,但只要你留心,總能找到更奇葩的破腚。。。
剛才我們説過。那個薅羊毛程序並不是把“微信勒索病毒”下載下來,而是在之前,下載了一些“下載器”,再由下載器把“勒索病毒”下載下來。
好的,奇葩的破綻就出在這些“下載器”上。
為了嚴謹,多説一句。分析了一下在真正病毒被下載之前的五個“下載器”,亮哥發現,這些下載器的代碼風格和最後的病毒是一致的。這證明,下載器和最終病毒的作者是一個人。
在其中一個下載器裏,作者竟然留下了自己的 GitHub 地址,而這個地址可就厲害了,用户名直接是:“qq1790749886”。我讀書少,但怎麼看這都是一個QQ號吧。。。而在頁面裏他還留下了一串字符:LSY19960417。我讀書少,但這這分明就是一個名字的縮寫和生日好不好。。。
不用你們動手,
中哥替你們搜了一下這個QQ號**。**
1996年,還是個白羊座。。。聽説白羊座做事衝動,星象大師誠不我欺啊。
亮哥説,他剛開始搜到這個QQ號的時候,對方的簽名還寫着:“收徒,老濕傅帶你寫外掛。2300包教包會!”(當然現在已經改了)
而有一位叫做“雕哥”的熱心網友,好奇加了他的QQ,他居然還沒意識到發生了什麼,要繼續去打LOL。
當然,即使是一個病毒作者,中哥也並不提倡人肉他。不過實際上,這些信息被公開之後,廣大網友已經把這位小哥的具體姓名人肉到了。。。具體的信息這裏就不寫了,我們暫且把他稱為 LSY 吧。
至此,黑客在安全人員眼中已經遭遇了史詩級的潰敗。。。
説到這,你一定想知道,這位黑客老濕傅究竟賺了多少錢。
當然,這個賬號具體的收款詳情,只有微信支付才掌握,他們並不會公佈。但亮哥回憶了一個有趣的細節。
最開始,亮哥接到“報警”之後,確實有一個受害者説,他已經掃碼支付了110塊,然後,就沒有然後了。
經過逆向這個病毒程序之後,亮哥發現,程序根本就沒那麼智能,這邊付過去110塊,那邊的 LSY 老濕根本不知道是誰付的錢,又怎麼能幫你解鎖呢。。。。
而在亮哥嘗試掃那個微信支付碼的時候,這個碼已經失效,因為被舉報了。。。舉報了。。。
怎麼説呢,很可能那個付款的受害者,是第一個交贖金的,也是最後一個能交進去贖金的。。。這個故事告訴我們:下次遇到微信支付勒索,交智商税要趁早。磨蹭半個小時,想送錢都送不進去了。
故事講到這裏,還有一個最大的疑團沒有解開,那就是:LSY 老濕傅,究竟是如何把那一整套“下載病毒的指令”塞進幾十款薅羊毛程序裏的呢?
你可能猜不到,解開這個謎團的同時,我們順便又打開了一個新世界的大門。。。
(5)神秘的組織:易語言
一個神奇的事實浮出水面:
所有傳播這個勒索病毒的薅羊毛、外掛程序,都有一個驚人的特點,那就是——他們都是用“易語言”編寫的。
你可能會好奇,納尼?我聽説過 C語言,PHP,Java,啥叫易語言?
實話實説,中哥在一天以前,也不知道神馬是易語言。
給你兩張易語言編程界面你體會一下。
再來一張人們學習易語言的場景。
你應該有感覺了。易語言是一個純中文的編程界面,對於廣大沒有計算機背景,但是卻熱愛編程的人士“相當友好”。
如果説 C 語言是任天堂的紅白機的話,那麼易語言就是——小霸王學習機。
可能你猜不到,易語言在中國有着巨大巨大的使用羣體。
而在易語言的粉絲中,有一個頗為有名的論壇——精易論壇。
給你看下,精易論壇的感覺。。。
點擊可以看大圖,
如果你想的話。。
我為什麼要花這麼多時間來説易語言呢?因為,整場“微信勒索病毒”事件,其實都只發生在易語言的世界裏。事情是這樣的:
1、LSY 老濕傅,是一個狂熱的易語言愛好者,曾經用易語言做了一些有用的小工具,發在了精易論壇上。
2、2018年早些時候,LSY 老濕傅動了歪心,他發佈了一個帶有病毒的小工具,但是很快被細心的網友發現了,回帖説你這個裏面有病毒啊。。。老濕傅羞赧無比,決定回去再苦練幾個月。。。
3、在2018年11月15號,老濕傅重出江湖,在精易論壇發表了一個新的小工具“小型軟件在線更新方法”。這是一個易語言編程的插件。而這個插件裏面,就被 LSY 老濕傅植入了“下載器”的惡意代碼。
這個惡意代碼可就厲害了——它感染的是易語言的編程程序。
也就是説,一旦下載過這個插件,用它編出來的程序,都是偷偷帶有下載器功能的,軟件作者並不知情。而這個下載器能用來下載什麼,就是 LSY 老濕傅説了算了。
於是,LSY 通過感染“編程語言母體”的方式,讓母體編寫出來的一切程序都天然帶有病毒。就像那些可怕的基因疾病一樣,如果母親具有患病基因,那麼孩子也會天然帶有這種疾病。
於是,一場可怕的擴散就此開始。
(6)一場華麗的當眾裸奔
講真,這種攻擊母體的方法,在黑客界已經非常出名。甚至它還有一個名字,叫做“軟件供應鏈攻擊”。
這種攻擊非常有效,擴散起來非常迅速。但是,真正的成熟黑客,一般不會選用這種攻擊方式,原因是神馬呢?
沒錯,就是控制不住事態。。。
病毒乾的這些事,盜取信息、勒索,本來應該是低調進行的。這就像搶劫團伙,本來應該夜黑風高之時在僻靜的小衚衕裏,堵住一個弱小的姑娘要錢。沒聽説過哪個搶劫團伙到王府井地鐵站,每人把守一個出口,站在安檢旁邊挨個要錢的。。。
但是,感染母體軟件之後,病毒作者是沒辦法控制其他人用這些母體編寫多少新程序出來的,病毒作者也沒辦法控制這些新編出來的帶毒軟件究竟會有多火,會有多少人使用。
這就像你打枱球的時候,
把白球直接打進洞很容易,
但是用白球撞綵球進洞就更難控制準星,
如果你能讓五顆球連續撞擊最後進洞,那你就是世界級選手了。
換句話説,就像一個小孩子扛起了火箭炮,他對接下來發生的事情根本無法控制。。。。
這樣一看,一切就都明白了:
“微信勒索病毒”,本來就是 LSY 老濕想要小範圍傳播的勒索軟件,於是根本都沒做什麼偽裝,還用了微信支付碼,估計在他心裏,預計這個病毒會感染幾十人,然後其中十個人付贖金,賺個一千多塊錢完事。
沒想到,中國人民對於薅羊毛這件事情過於熱衷,導致幾萬人使用了帶毒的薅羊毛程序,超出了他的預料,直接驚動了中國幾大殺毒軟件。。。
事實也證明,病毒從開始傳播到各大安全廠商剿滅,總共用了半天時間。但LSY 老濕的蠢萌和法律意識不足,生生把一個低調的勒索病毒變成了天安門廣場大型裸奔現場。。。
就這樣,他從一個默默收徒的小黑客,搖身一變成了兩天之內用兩種姿勢連續攻佔百度搜索頭條的男人。。。
事情曝光之後,LSY 的豆瓣頁面上的最後一條攻擊代碼也被他換掉了,只有一行字:
sorry!---太年輕了!
看到這裏,一種複雜的心情湧上我心頭。年輕總會犯錯誤,但有時我們為年輕付出的代價,也許過於沉重。
以上一切信息,亮哥都在第一時間同步給了警方。從公開信息看,各大安全廠商也都把自己掌握的信息交給了警方。
就在2018年12月6日晚上,微博“平安東莞”發佈了一條消息。沒錯,LSY 老濕落網了。。。
根據警方的信息,羅某某涉嫌利用自制病毒木馬入侵用户計算機,非法獲取淘寶、支付寶、百度網盤、郵箱等各類用户賬號、密碼數據約5萬餘條,全網已有超過****10萬台計算機被感染。
亮哥給我講的故事,到這裏就告一段落了。
但是回望整個事件,我發現它的每一個環節,都只能發生在中國。
從只有中國人才用的“小霸王學習機”易語言,到中國特色的薅羊毛軟件,到通過豆瓣和QQ空間進行病毒投放,到微信支付收勒索款,再到這個22歲的青年所思考的一切。
在川流的忙碌人羣背後,有一個龐大的羣體,大多數時候他們沉默着,在角落裏按照自己的“規則”生存着。
他們之中,有的人賺盡榮華,坐擁香車美女;
他們之中,也有人四處掙扎,幻想致富良方。
偶爾,他們中的一員被甩到輿論的漩渦中心,被人嬉笑品評,然後黯然退場。
他們,像是中國的影子。
