勒索病毒又來了！微信支付寶被瞄上丨專欄_風聞

原創：中科院之聲（ID：zkyzswx）

一、衝上熱搜的病毒

小白：大東東，這幾天有一個叫“微信支付勒索病毒”的病毒，好像上熱搜了呀！後來又出現了“支付寶病毒”，你造這事兒麼？

大東：其實，你説的這兩個病毒是同一個病毒，它還可以叫“支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒”。

小白：這這這，怎麼回事呀！

大東：你看這幾天的新聞報道，説國內出現了要求微信支付贖金的勒索病毒，入侵用户電腦後會加密用户文件，但不收取比特幣，而是要求受害者掃描彈出的微信二維碼支付110元贖金，獲得解密鑰匙。

小白：怎麼聽起來有些奇怪？

大東：這就是個簡單的勒索病毒，它的手法並不高級，但卻是國內首款要求微信支付的勒索病毒，而且贖金僅110元，很可能打的就是網民“破財免災”的心理戰術。

小白：那如果用户迫於一時麻煩繳納了贖金，積少成多的金額也不容小覷呢。

大東：此外該病毒還竊取用户的各類賬户密碼，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號。

小白：所以它還可以叫做“支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒”吧，哈哈哈！

二、勒索病毒

大東：説到勒索病毒，小白，你還記得大明湖畔的 WannaCry 嗎？

小白：當然啦，魔窟~我親身感受的第一個病毒怎麼能忘記~

大東：這個勒索軟件在2017年4月14日被一個黑客組織“影子經紀人”（Shadow Brokers）泄露出來了。WannaCry 原本是黑客組織方程式組織的網絡武器，這個武器會加密受害者電腦中磁盤文件，並且顯示勒索支付的界面，只有支付贖金才能解密恢復。

WannaCry勒索界面（圖片來源：百度）

小白：咳咳，這倒是難為人了，比特幣這東西也不是誰都有的啊~~

大東：沒錯，WannaCry 之所以選擇使用比特幣，是因為它的匿名性。

小白：噢！我説哪兒感覺奇怪呢！最近這個勒索病毒是用微信支付碼做勒索，微信又是實名制的，這就相當於在派出所裏搶劫啊！

大東：你説的沒錯，這屬於典型的“自殺式勒索”。

小白：作者智商捉急呀…

大東：但這個勒索病毒居然不知為何能“逃”過安全衞士的監控，要知道，普通勒索病毒一般都製作得非常劣質，還沒等傳播呢，就被各種殺軟直接秒掉了。

小白：喔～説明作者還是有點水平嘛，那大東快給我説説這個病毒是怎麼做到的。

三、病毒的一生

大東：其實，這個原理並不複雜。幾乎受感染的機器所有人電腦裏都安裝了型號不一的“薅羊毛程序”和“外掛程序”，而這些薅羊毛程序明明被殺毒軟件報毒了，卻又被用户強制拉回了信任白名單裏。

京東薅羊毛程序（圖片來源：百度）

小白：事有蹊蹺！

大東：經檢查後，果然就是它們，偷偷從網上下載了帶有勒索功能的病毒木馬，也就是“微信支付勒索病毒”。

小白：那這難道都是用户自己安裝的？殺毒軟件坐視不管麼！

大東：通常情況下，殺毒軟件經常會把這些程序們判斷為病毒，但是羊毛黨們下載了薅羊毛程序，第一件事就是把它們拉進殺軟的白名單裏，所以帶着勒索病毒的薅羊毛程序也被歸進入了白名單，殺毒軟件被用户“強制旁觀”。

小白：所以才有了後來這些事兒！天吶，原來還是因為自己作死，才……

大東：接下來，病毒就開始了它的表演。首先，在用户下載了薅羊毛程序之後，這個程序會偷偷“逛豆瓣”。

小白：這麼文藝的病毒？？

大東：是的，這個薅羊毛程序就是會訪問豆瓣，從豆瓣的一個網頁裏，讀取攻擊指令。

小白：還以為病毒寫書評去呢，哈哈。

大東：攻擊指令的原貼已被刪，但還能從百度快照裏找回。

保存在豆瓣上的攻擊指令（圖片來源：豆瓣截圖）

小白：那接下來呢？

大東：在“逛豆瓣”之後，它還會去“逛QQ空間”。

小白：我要黑人問號臉了？？

大東：豆瓣頁面裏的指令指向一個 QQ空間，在這個QQ空間裏，有張小女孩的圖片。這張的分辨率只有530*456，但是它的大小卻有6.98M。

QQ空間照片（圖片來源：QQ空間截圖）

​小白：事又有蹊蹺！

大東：沒錯，在對圖片解壓之後，能解壓出一堆文件，這裏隱藏着一個“下載器”，可以訪問指定的地址下載另一個程序。

解壓QQ空間圖片（圖片來源：互聯網）

小白：勒索病毒本尊要出現了麼？

大東：不，這裏循環三次，跳轉下載了不同的下載器。

小白：劇情發展好慢！

大東：別急，在這之後，程序終於下載了勒索病毒。

小白：然後就把用户電腦上的文件加密，然後彈出微信支付二維碼了！

病毒操作流程（圖片來源： 淺黑科技）

大東：你看，整個勒索流程下來，它把惡意指令藏到豆瓣，把惡意程序藏到 QQ 空間，自己不僅連個服務器都不用買，而且連服務器都不用偷。

小白：直接利用豆瓣和QQ的免費服務，黑客攻擊的成本是0！

大東：最後一個下載器從 QQ 空間拿回了兩樣東西，除了勒索病毒，另一個是神馬呢？

小白：難道是用户名秘密？

大東：是記錄用户密碼的程序。它都可以用來記錄支付寶、京東、網易163郵箱、微博、百度雲盤、QQ網頁版、天貓、旺旺、酷狗、迅雷。

小白：這麼多！這可壞事啊！可是我記得在支付寶頁面輸入密碼的時候，支付寶會提示探測有沒有記錄程序在偷偷記錄密碼。

大東：所以，為了對付安全指數最高的支付寶，黑客在支付寶的網頁之上生成了一個一模一樣的窗口，蓋住原本的密碼框，騙用户輸入密碼。這也就是到了第二天，這個病毒又被稱為“支付寶病毒”的原因了。

小白：太狡詐了！能揪出這可惡的黑客麼！

大東：當然，這麼長一串的操作中總會留下蛛絲馬跡。在其中一個下載器裏，作者竟然留下了自己的 GitHub 地址，用户名直接是：“qq1790749886”。

小白：我讀書少，但怎麼看這都是一個QQ號吧！

大東：此外，他還在頁面裏他還留下了一串字符：LSY19960417。

小白：這分明就是一個名字的縮寫和生日吧！

大東：於是，2018年12月6日晚上，微博“平安東莞”發佈了一條消息——LSY 落網了。

病毒作者落網（圖片來源：微博截圖）

四、如何防範

小白：聽起來，其實這個病毒一切的根源就是薅羊毛程序啊。

大東：沒錯，這個病毒並不可怕，它的編寫也十分初級。該勒索病毒由易語言編寫，是一門以中文作為程序代碼的編程語言，屬於初級入門級語言，從這一點就可以看出勒索病毒作者代碼水平還比較初級。

小白：還使用了作死的勒索方式勒索方式。

大東：文件加密方式也十分簡單，目前多家安全廠商已經發布瞭解密工具，被感染的用户完全無需擔心數據損失。由於該勒索病毒只能通過分發站點進行傳播，感染數量並不大。當分發站點被屏蔽，疫情就會被立即控制。

小白：那咱有啥防範措施不？

大東：個人用户瀏覽網頁時提高警惕，不下載可疑文件，警惕偽裝為瀏覽器更新或者flash更新的病毒；不打開可疑郵件附件，不點擊可疑郵件中的鏈接。安裝殺毒軟件，保持監控開啓，及時升級病毒庫。及時更新系統補丁，防止受到漏洞攻擊。同時，備份重要文件，建議採用：本地備份+脱機隔離備份+雲端備份。

小白：得嘞～那企業該怎麼辦呢？

大東：企業用户需要關注以下幾點：

1、系統漏洞攻擊

及時更新系統補丁，防止攻擊者通過漏洞入侵系統。安裝補丁不方便的組織，可安裝網絡版安全軟件，對局域網中的機器統一打補丁。在不影響業務的前提下，將危險性較高的，容易被漏洞利用的端口修改為其它端口號，如139 、445端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險。

2、遠程訪問弱口令攻擊

使用複雜密碼。更改遠程訪問的默認端口號，改為其它端口號。禁用系統默認遠程訪問，使用其它遠程管理軟件。

3、釣魚郵件攻擊

安裝殺毒軟件，保持監控開啓，及時更新病毒庫。如果業務不需要，建議關閉office宏，powershell腳本等。不打開可疑的郵件附件，不點擊郵件中的可疑鏈接。

4、web服務漏洞和弱口令攻擊

及時更新web服務器組件，及時安裝軟件補丁。web服務不要使用弱口令和默認密碼

5、數據庫漏洞和弱口令攻擊。

更改數據庫軟件默認端口，限制遠程訪問數據庫。及時更新數據庫管理軟件補丁，及時備份數據庫。

小白：都記在小本本上啦！