勒索病毒又来了！微信支付宝被瞄上丨专栏

一、冲上热搜的病毒

小白：大东东，这几天有一个叫“微信支付勒索病毒”的病毒，好像上热搜了呀！后来又出现了“支付宝病毒”，你造这事儿么？

大东：其实，你说的这两个病毒是同一个病毒，它还可以叫“支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

小白：这这这，怎么回事呀！

大东：你看这几天的新闻报道，说国内出现了要求微信支付赎金的勒索病毒，入侵用户电脑后会加密用户文件，但不收取比特币，而是要求受害者扫描弹出的微信二维码支付110元赎金，获得解密钥匙。

小白：怎么听起来有些奇怪？

大东：这就是个简单的勒索病毒，它的手法并不高级，但却是国内首款要求微信支付的勒索病毒，而且赎金仅110元，很可能打的就是网民“破财免灾”的心理战术。

小白：那如果用户迫于一时麻烦缴纳了赎金，积少成多的金额也不容小觑呢。

大东：此外该病毒还窃取用户的各类账户密码，包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。

小白：所以它还可以叫做“支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”吧，哈哈哈！

二、勒索病毒

大东：说到勒索病毒，小白，你还记得大明湖畔的 WannaCry 吗？

小白：当然啦，魔窟~我亲身感受的第一个病毒怎么能忘记~

大东：这个勒索软件在2017年4月14日被一个黑客组织“影子经纪人”（Shadow Brokers）泄露出来了。WannaCry 原本是黑客组织方程式组织的网络武器，这个武器会加密受害者电脑中磁盘文件，并且显示勒索支付的界面，只有支付赎金才能解密恢复。

WannaCry勒索界面（图片来源：百度）

小白：咳咳，这倒是难为人了，比特币这东西也不是谁都有的啊~~

大东：没错，WannaCry 之所以选择使用比特币，是因为它的匿名性。

小白：噢！我说哪儿感觉奇怪呢！最近这个勒索病毒是用微信支付码做勒索，微信又是实名制的，这就相当于在派出所里抢劫啊！

大东：你说的没错，这属于典型的“自杀式勒索”。

小白：作者智商捉急呀...

大东：但这个勒索病毒居然不知为何能“逃”过安全卫士的监控，要知道，普通勒索病毒一般都制作得非常劣质，还没等传播呢，就被各种杀软直接秒掉了。

小白：喔～说明作者还是有点水平嘛，那大东快给我说说这个病毒是怎么做到的。

三、病毒的一生

大东：其实，这个原理并不复杂。几乎受感染的机器所有人电脑里都安装了型号不一的“薅羊毛程序”和“外挂程序”，而这些薅羊毛程序明明被杀毒软件报毒了，却又被用户强制拉回了信任白名单里。

京东薅羊毛程序（图片来源：百度）

小白：事有蹊跷！

大东：经检查后，果然就是它们，偷偷从网上下载了带有勒索功能的病毒木马，也就是“微信支付勒索病毒”。

小白：那这难道都是用户自己安装的？杀毒软件坐视不管么！

大东：通常情况下，杀毒软件经常会把这些程序们判断为病毒，但是羊毛党们下载了薅羊毛程序，第一件事就是把它们拉进杀软的白名单里，所以带着勒索病毒的薅羊毛程序也被归进入了白名单，杀毒软件被用户“强制旁观”。

小白：所以才有了后来这些事儿！天呐，原来还是因为自己作死，才……

大东：接下来，病毒就开始了它的表演。首先，在用户下载了薅羊毛程序之后，这个程序会偷偷“逛豆瓣”。

小白：这么文艺的病毒？？

大东：是的，这个薅羊毛程序就是会访问豆瓣，从豆瓣的一个网页里，读取攻击指令。

小白：还以为病毒写书评去呢，哈哈。

大东：攻击指令的原贴已被删，但还能从百度快照里找回。

保存在豆瓣上的攻击指令（图片来源：豆瓣截图）

小白：那接下来呢？

大东：在“逛豆瓣”之后，它还会去“逛QQ空间”。

小白：我要黑人问号脸了？？

大东：豆瓣页面里的指令指向一个 QQ空间，在这个QQ空间里，有张小女孩的图片。这张的分辨率只有530*456，但是它的大小却有6.98M。

QQ空间照片（图片来源：QQ空间截图）

小白：事又有蹊跷！

大东：没错，在对图片解压之后，能解压出一堆文件，这里隐藏着一个“下载器”，可以访问指定的地址下载另一个程序。

解压QQ空间图片（图片来源：互联网）

小白：勒索病毒本尊要出现了么？

大东：不，这里循环三次，跳转下载了不同的下载器。

小白：剧情发展好慢！

大东：别急，在这之后，程序终于下载了勒索病毒。

小白：然后就把用户电脑上的文件加密，然后弹出微信支付二维码了！

病毒操作流程（图片来源： 浅黑科技）

大东：你看，整个勒索流程下来，它把恶意指令藏到豆瓣，把恶意程序藏到 QQ 空间，自己不仅连个服务器都不用买，而且连服务器都不用偷。

小白：直接利用豆瓣和QQ的免费服务，黑客攻击的成本是0！

大东：最后一个下载器从 QQ 空间拿回了两样东西，除了勒索病毒，另一个是神马呢？

小白：难道是用户名秘密？

大东：是记录用户密码的程序。它都可以用来记录支付宝、京东、网易163邮箱、微博、百度云盘、QQ网页版、天猫、旺旺、酷狗、迅雷。

小白：这么多！这可坏事啊！可是我记得在支付宝页面输入密码的时候，支付宝会提示探测有没有记录程序在偷偷记录密码。

大东：所以，为了对付安全指数最高的支付宝，黑客在支付宝的网页之上生成了一个一模一样的窗口，盖住原本的密码框，骗用户输入密码。这也就是到了第二天，这个病毒又被称为“支付宝病毒”的原因了。

小白：太狡诈了！能揪出这可恶的黑客么！

大东：当然，这么长一串的操作中总会留下蛛丝马迹。在其中一个下载器里，作者竟然留下了自己的 GitHub 地址，用户名直接是：“qq1790749886”。

小白：我读书少，但怎么看这都是一个QQ号吧！

大东：此外，他还在页面里他还留下了一串字符：LSY19960417。

小白：这分明就是一个名字的缩写和生日吧！

大东：于是，2018年12月6日晚上，微博“平安东莞”发布了一条消息——LSY 落网了。

病毒作者落网（图片来源：微博截图）

 

四、如何防范

小白：听起来，其实这个病毒一切的根源就是薅羊毛程序啊。

大东：没错，这个病毒并不可怕，它的编写也十分初级。该勒索病毒由易语言编写，是一门以中文作为程序代码的编程语言，属于初级入门级语言，从这一点就可以看出勒索病毒作者代码水平还比较初级。

小白：还使用了作死的勒索方式勒索方式。

大东：文件加密方式也十分简单，目前多家安全厂商已经发布了解密工具，被感染的用户完全无需担心数据损失。由于该勒索病毒只能通过分发站点进行传播，感染数量并不大。当分发站点被屏蔽，疫情就会被立即控制。

小白：那咱有啥防范措施不？

大东：个人用户浏览网页时提高警惕，不下载可疑文件，警惕伪装为浏览器更新或者flash更新的病毒；不打开可疑邮件附件，不点击可疑邮件中的链接。安装杀毒软件，保持监控开启，及时升级病毒库。及时更新系统补丁，防止受到漏洞攻击。同时，备份重要文件，建议采用：本地备份+脱机隔离备份+云端备份。

小白：得嘞～那企业该怎么办呢？

大东：企业用户需要关注以下几点：

1、系统漏洞攻击

及时更新系统补丁，防止攻击者通过漏洞入侵系统。安装补丁不方便的组织，可安装网络版安全软件，对局域网中的机器统一打补丁。在不影响业务的前提下，将危险性较高的，容易被漏洞利用的端口修改为其它端口号，如139 、445端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

2、远程访问弱口令攻击

使用复杂密码。更改远程访问的默认端口号，改为其它端口号。禁用系统默认远程访问，使用其它远程管理软件。

3、钓鱼邮件攻击

安装杀毒软件，保持监控开启，及时更新病毒库。如果业务不需要，建议关闭office宏，powershell脚本等。不打开可疑的邮件附件，不点击邮件中的可疑链接。

4、web服务漏洞和弱口令攻击

及时更新web服务器组件，及时安装软件补丁。web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击。

更改数据库软件默认端口，限制远程访问数据库。及时更新数据库管理软件补丁，及时备份数据库。

小白：都记在小本本上啦！

来源：中国科学院计算技术研究所

温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」