自12月1日爆發的“微信支付”勒索病毒正在快速傳播,感染的電腦數量越來越多。病毒團伙入侵并利用豆瓣的C&C服務器,除了鎖死受害者文件勒索贖金(支付通道已經關閉),還大肆偷竊支付寶等密碼。
日均感染量圖,最高13134臺(從病毒服務器獲取的數據)
沒錯,狡猾的黑客們這次放棄了把比特幣當作贖金這種“不接地氣”的勒索方式,而是發起微信二維碼掃描進行勒索贖金支付(勒索病毒Bcrypt)。用戶中毒重啟電腦后,會彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進行文件解密。
病毒作者謊騙用戶稱“因密鑰數據較大如超出個這時間(即2天后)服務器會自動刪除密鑰,此解密程序將失效”,但實際解密密鑰存放在用戶本地,在不訪問病毒作者服務器的情況下,也完全可以成功解密。如下圖所示:
據火絨安全團隊分析,該病毒巧妙地利用“供應鏈污染”的方式進行傳播。
病毒作者首先攻擊軟件開發者的電腦,感染其用以編程的“易語言”中的一個模塊,導致開發者所有使用“易語言”編程的軟件均攜帶該勒索病毒。廣大用戶下載這些“帶毒”軟件后,就會感染該勒索病毒。整過傳播過程很簡單,但污染“易語言”后再感染軟件的方式卻比較罕見。
另外,該勒索病毒開始勒索前,會在本地生成加密、解密相關數據,火絨工程師根據這些數據成功提取到了密鑰。此外,該勒索病毒只加密用戶的桌面文件,并會跳過一些指定名稱開頭的目錄文件,包括“騰訊游戲、英雄聯盟、tmp、rtl、program”,而且不會感染使用gif、exe、tmp等擴展名的文件。
值得一提的是,該病毒會利用帶有騰訊簽名的程序調用病毒代碼,來躲避安全軟件的查殺。
截止到12月3日,已有超過兩萬用戶感染該病毒,并且被感染電腦數量還在增長。
供應鏈污染流程
此外,火絨安全團隊發現病毒制作者利用豆瓣等平臺當作下發指令的C&C服務器,工程師通過解密下發的指令后,獲取其中一個病毒后臺服務器,發現病毒作者已秘密收取數萬條淘寶、天貓等賬號信息。
也就是說,中招用戶可能損失的不止是錢還有被該病毒竊取的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號。
根據專家建議,感染用戶除了殺毒和解密被鎖死的文件外,應盡快修改上述平臺密碼。
-
服務器
+關注
關注
12文章
9160瀏覽量
85428 -
支付寶
+關注
關注
2文章
458瀏覽量
24850
原文標題:超兩萬用戶感染“微信支付”勒索病毒 中招者或被竊取支付寶密碼
文章出處:【微信號:FPGAer_Club,微信公眾號:FPGAer俱樂部】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論