快捷搜索:

火绒实验室:“微信支付”勒索病毒终极解密

  根据火绒团队的分析、溯源,该病毒使用"供应链污染"的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的"易语言"编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。

  图:部分被感染软件

  火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。

  图:被盗取的登录信息数据统计信息

  此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件

  经过进一步分析,火绒团队发现所有相关信息都指向同一主体--姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。

  12月1日该病毒爆发后,"火绒安全软件"当天升级查杀,火绒团队连夜制作了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。广大用户无需担心,使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系火绒团队尝试解密。

  火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。

  附详细分析报告

  数据分析

  火绒前期报告中写道,Bcrypt勒索病毒通过供应链污染的方式正在进行大范围传播,病毒会借助被感染的易语言编译环境为跳板,之后病毒会通过从被感染环境编译出的易语言程序在互联网中大范围扩散。通过火绒近期对感染数据的追踪,我们整理出了大量受影响的易语言程序。此类受影响的易语言程序众多,其中还包含有一些易语言程序下载平台(如:万软平台、赚客吧等)。易语言开发人员开发环境被感染后,编译出带毒的易语言程序,再上传到各大程序下载平台上供用户下载,从而使病毒在更广的范围内进行传播,请使用过类似易语言程序的用户及易语言相关开发人员下载火绒安全软件进行自查。受影响最多的易语言程序,如下图所示:

  受影响的易语言程序

  上述带毒的易语言软件都会成为病毒作者通过C&C网址链接操控的下载器病毒,从而下载执行其他恶意代码。被下载的恶意程序多为"白加黑"恶意病毒,前期报告中仅对感染量较大的libcef.dll病毒模块进行了分析,但此类病毒模块名种类其实还有很多。经过火绒的分析整理,可以直观显示病毒利用不同模块名执行恶意行为的相关情况。由于很多病毒文件名不具有实际意义,统计时以pdb名称为准,如:AutoinitApp_x64.pdb.dll。此类病毒模块名,如下图所示:

  病毒模块名列表

  各个病毒模块名所占感染终端数量占比,如下图所示:

  各个病毒模块名所占感染终端数量占比图

  上述病毒模块包含有多种不同的病毒恶意行为,如:勒索加密、盗取用户账户登录信息等。通过火绒对病毒服务器数据进行分析整理,病毒作者会收集以下几类信息,且每类信息与终端ID一一对应:

  1.终端ID

  2.系统版本信息、当前系统登录用户名、系统登录时间

  3.CPU型号

  4.屏幕分辨率

  5.IP及所属运营商信息

  6.软件安装信息

  7.安全软件进程信息

  8.网购账户登录信息、邮箱登录信息、QQ号登录信息、网盘登录信息等

您可能还会对下面的文章感兴趣: