“微信支付”勒索病毒被破解：源头是带病毒的开发工具

12月1日，国内首次出现了要求微信支付赎金的勒索病毒。这款病毒的勒索方式和“WannaCry”一样，入侵电脑运行后会加密用户文件，但是它不收取比特币，而是要求受害者扫描弹出的微信支付二维码交付赎金。根据“火绒威胁情报系统”监测和评估，截至4日晚，该病毒至少感染了10万台电脑，不仅会加密用户存储在电脑的文件，还窃取了数万条淘宝、支付宝等平台的用户密码等信息。12月5日，据国内几家网络安全公司的消息，他们已初步锁定病毒制造者，嫌疑人是一名95后罗姓男子，并已将这些信息移交警方。

不妨先简单看一下事情的经过。12月1日，火绒安全实验室发布报告称，近期火绒团队接到用户反馈，使用“微信二维码扫描”进行勒索赎金支付的勒索病毒 Bcrypt 正在大范围传播 —— 该病毒为新型勒索病毒，入侵电脑运行后，会加密用户文件，但不收取比特币，而是要求受害者扫描弹出的微信二维码支付110元赎金，获得解密钥匙，这也是国内首次出现要求微信支付赎金的勒索病毒。

12月2日，火绒团队表示该勒索病毒已被其成功破解，并发布了解密工具。随后，360、腾讯等厂商也升级产品，并发布各自的解密工具。声称使用这些安全软件即可查杀该病毒，已经被感染用户，可以使用这些解密 工具 还原被锁死的文件。如果密钥文件被删除，也可联系安全团队尝试解密。

根据火绒安全的分析和溯源，该病毒使用“供应链污染”的方式传播。这款名为 Bcrypt 的病毒首先通过相关论坛，植入被大量开发者使用的“易语言”编程程序，进而植入他们编写的各种软件产品，所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款，其中多数是"薅羊毛"类灰色软件。

火绒团队发现，病毒制造者利用豆瓣等平台当作下发指令的 C&C 服务器。火绒团队通过逆向分析病毒的下发指令，成功解密出其中2台病毒服务器，发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器，就存放了窃取来的淘宝、支付宝等账户密码两万余条。

火绒团队的分析表明，微信支付、支付宝和豆瓣等平台，均与该病毒的传播和作恶没有直接关系，也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号；豆瓣12月4号删除了病毒下发指令的页面，控制了病毒的进一步传播。

经过进一步分析，火绒团队发现所有相关信息都指向同一主体：姓名（罗**）、手机（1********45）、QQ（1*****86）、旺旺账号名（l****96）、邮箱（29*****@qq.com）。火绒已将上述个人信息，和被窃取的受害用户支付宝密码等信息，一并交给警方。

据安全专家表示，病毒本身写得很烂，很轻松就完全解密了，专业的病毒作者恐怕也不会使用实名制的移动支付二维码收钱。

事实上，这类直接感染源代码或代码编译程序的手法，在座的我们对此应该都不陌生。

2015年9月，就曾出现过震惊世界的 iOS 应用感染 XCodeGhost 病毒的事件。由于大量苹果开发者使用了被感染的 XCode 开发工具，导致众多 iOS 应用携带了恶意代码，盗取用户信息。其中甚至包括了很多几乎所有人都会使用的一些“必备应用”，也均未能幸免。

这次“微信支付”勒索病毒，类似于当年的 XCodeGhost 事件，都是利用程序开发工具作为病毒传播的载体，通过下载开发再下载的路径进行扩散。有行业人士表示，这个操作“不高级”。

附：国家互联网应急中心提醒广大用户如发现电脑被病毒感染，应及时采取如下措施进行防范

1. 安装并及时更新杀毒软件，目前市场主流反病毒软件都已支持针对该勒索病毒的防护与查杀。

2. 不要轻易打开来源不明的软件，该勒索病毒通过易语言编写的程序传播，减少使用来源不明的软件可有效预防。

3. 如已经感染勒索病毒，可使用相关解密工具尝试解密。目前，许多公司已经针对该勒索病毒开发了解密工具，包括火绒Bcrypt专用解密工具、腾讯电脑管家“文档守护者”、360安全卫士“360解密大师”等。

4. 已感染勒索病毒的用户，在清除病毒后，尽快修改淘宝、天猫、支付宝、QQ等敏感平台的密码。

5. 定期在不同的存储介质上备份计算机中的重要文件。

【声明】文章转载自：开源中国社区 [http://www.oschina.net]

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 我们