"微信支付"勒索病毒制造者被锁定 传播、危害和疫情终极解密

https://www.cnbeta.com/articles/tech/794851.htm

12月1日,首个要求"微信支付"赎金的勒索病毒在国内爆发,根据"火绒威胁情报系统"监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。

根据火绒团队的分析、溯源,该病毒使用"供应链污染"的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的"易语言"编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。

图:部分被感染软件

火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。

图:被盗取的登录信息数据统计信息

此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件。

经过进一步分析,火绒团队发现所有相关信息都指向同一主体--姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。

12月1日该病毒爆发后,"火绒安全软件"当天升级查杀,火绒团队连夜制作了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。广大用户无需担心,使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系火绒团队尝试解密。

火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。

附详细分析报告

数据分析

火绒前期报告中写道,Bcrypt勒索病毒通过供应链污染的方式正在进行大范围传播,病毒会借助被感染的易语言编译环境为跳板,之后病毒会通过从被感染环境编译出的易语言程序在互联网中大范围扩散。通过火绒近期对感染数据的追踪,我们整理出了大量受影响的易语言程序。此类受影响的易语言程序众多,其中还包含有一些易语言程序下载平台(如:万软平台、赚客吧等)。易语言开发人员开发环境被感染后,编译出带毒的易语言程序,再上传到各大程序下载平台上供用户下载,从而使病毒在更广的范围内进行传播,请使用过类似易语言程序的用户及易语言相关开发人员下载火绒安全软件进行自查。受影响最多的易语言程序,如下图所示:

受影响的易语言程序

上述带毒的易语言软件都会成为病毒作者通过C&C网址链接操控的下载器病毒,从而下载执行其他恶意代码。被下载的恶意程序多为"白加黑"恶意病毒,前期报告中仅对感染量较大的libcef.dll病毒模块进行了分析,但此类病毒模块名种类其实还有很多。经过火绒的分析整理,可以直观显示病毒利用不同模块名执行恶意行为的相关情况。由于很多病毒文件名不具有实际意义,统计时以pdb名称为准,如:AutoinitApp_x64.pdb.dll。此类病毒模块名,如下图所示:

病毒模块名列表

各个病毒模块名所占感染终端数量占比,如下图所示:

各个病毒模块名所占感染终端数量占比图

上述病毒模块包含有多种不同的病毒恶意行为,如:勒索加密、盗取用户账户登录信息等。通过火绒对病毒服务器数据进行分析整理,病毒作者会收集以下几类信息,且每类信息与终端ID一一对应:

1.终端ID

2.系统版本信息、当前系统登录用户名、系统登录时间

3.CPU型号

4.屏幕分辨率

5.IP及所属运营商信息

6.软件安装信息

7.安全软件进程信息

8.网购账户登录信息、邮箱登录信息、QQ号登录信息、网盘登录信息等

截至目前,病毒作者共盗取登录信息共计22442条。相关数据统计分析后,如下图所示:

被盗取得登录信息数据统计信息

溯源分析

根据前期报告中写道,病毒代码中的github链接(hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt),我们找到了病毒作者的github主页(hxxps://github.com/qq*6/ja*et),从中发现了病毒作者的提交记录。如下图所示:

病毒作者提交信息

在提交记录中,我们切换到"d1889a4a0ceb7554982d7a924ecebe23200da94"提交记录中,我们发现在本次提交中有一个名为"new 1 - 副本.txt"的BMP图片文件。图片内容,如下图所示:

图片文件内容

如上图红框内代码,此时疑似病毒作者正在调试屏幕截取相关病毒功能。在任务栏中红框所示项目,我们可以看到病毒相关的一些工程正在被编辑,并得到一个疑似病毒作者的姓名,通过该姓名我们找到了相应的百度知道首页(hxxps://zhidao.baidu.com/question/11*0859)。如下图所示:

百度知道首页

该百度知道页面中,我们找到了两款与该作者相关的软件:"lsy资源助手"和"LSY经典闹铃v1.1",这两个软件包含有作者的QQ信息和作者姓名的缩写(Mr.l.s.y)。"LSY经典闹铃v1.1"由于未知原因无法运行,"LSY经典闹铃v1.1"相关数据信息,如下图所示:

"LSY经典闹铃v1.1"相关数据信息

"lsy资源助手"运行截图,如下图所示:

"lsy资源助手"运行截图

在上述字符串信息中,我们可以看到阿里旺旺账号名l******6,其中lsy刚好符合"罗**"的汉语拼音缩写。通过我们搜索阿里旺旺用户名,我们找到相关用户信息,发现该账户确实与2*********@qq.com相关QQ号存在联系。相关阿里旺旺账户信息,如下图所示:

账户信息

根据火绒截获的病毒样本,可以发现其中一个恶意URL "http://www.my***********.top/adcheatReserved/gx.html",通过查询https://whois.icann.org/zh/lookup?name=www.my***********.top进行域名反查。我们获得了更多域名注册者的信息,如下图所示:

病毒作者相关信息

我们发现,在前面溯源中找到的QQ邮箱(1*******86)和手机号(17*******45)同时在上述信息中出现。我们再以"LSY经典闹铃v1.1"软件中出现的另一个QQ邮箱号"29*****@qq.com"作为线索,在支付宝使用"忘记密码"方式获得相关手机号,对比前文中出现的手机号,也有极高的相似度。相关信息,如下图所示:

密码找回页面信息

另外,在之前对Bcrypt病毒家族样本的分析过程中,曾多次在病毒服务器数据库密码以及解密代码等处出现19*****7的数字序列,不排除该数字序列为病毒作者生日的可能性。

综上所述,上述信息均指向同一个主体,相关信息如下:

姓名:罗**

QQ号:1*******86

手机号:1********45

生日(疑似):19**年*月*7日

附录

火绒收集到的部分受感染易语言程序名,如下图所示:

[转帖]"微信支付"勒索病毒制造者被锁定 传播、危害和疫情终极解密 --- 可以学习下一年火绒团队的分析原理的精神.的更多相关文章

  1. 紧急通知:Onion勒索病毒正在大范围传播!已有大量学生中招!(转)

    在5月12日晚上20点左右,全国各地的高校学生纷纷反映,自己的电脑遭到病毒的攻击,文档被加密,壁纸遭到篡改,并且在桌面上出现窗口,强制学生支付等价300美元的比特币到攻击者账户上.我们的一位成员和其多 ...

  2. "WannaCry"勒索病毒用户处置指南

    "WannaCry"勒索病毒用户处置指南   原文: http://mp.weixin.qq.com/s/ExsribKum9-AN1ToT10Zog    卡巴斯基,下载官网:h ...

  3. 【转载】Globelmposter勒索病毒最新变种预警

    近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666.Zeus666.Aphrodite666.Apollon666等,目前国内已有多家大型医院率先发现 ...

  4. ASP.NET 微信支付

    一.在支付前期,我们需要获取用户的OpenId,此块内容只针对于JSAPI(微信中直接支付)才需要,如果生成二维码(NATIVE)扫描支付,请跳过此步骤 思路大致是:获取用户的code值 > 根 ...

  5. android app 集成 支付宝支付 微信支付

    项目中部分功能点需要用到支付功能,移动端主要集成支付宝支付和微信支付 支付宝sdk以及demo下载地址:https://doc.open.alipay.com/doc2/detail.htm?spm= ...

  6. JAVA微信支付~

    1,简单说明 现在好多项目上都需要用到微信支付接口,官方文档上也是简单的描述了下,技术不高深的真的难以理解(我自己看官方文档就看不懂),还是需要自己收集,总结, 网上看了好多 有些照着弄最后还是没法成 ...

  7. 腾讯微信支付,程序员是如何让jQuery代码付钱的

    微信支付和支付宝支付已经是我们生活中不可确实的两个金融软件了,也是必备的,小编认为小钱用微信,大钱用支付宝. 下面这个图是我们生活中用腾讯微信支付平台的最后一个页面,大家想不想知道这个页面是如果做出来 ...

  8. 基于PHP的微信支付教程

    微信支付作为各大移动支付方式之一,本课程只要向大家介绍并使用微信支付的常用功能,进而集合到已有的项目中去,希望各位能够快速上手并掌握实战"干货". 出处至:汇智网  hubwiz. ...

  9. WannaCry勒索病毒全解读,权威修复指南大集合

    多地的出入境.派出所等公安网络疑似遭遇了勒索蠕虫病毒袭击,已暂时停办出入境业务:加油站突然断网,不能支持支付宝.微信.银联卡等联网支付:大批高校师生电脑中的文件被蠕虫病毒加密,需要支付相应的赎金方可解 ...

随机推荐

  1. shiro实战系列(十一)之Caching

    Shiro 开发团队明白在许多应用程序中性能是至关重要的.Caching 是从第一天开始第一个建立在 Shiro 中的一流功 能,以确保安全操作保持尽可能的快.   然而,Caching 作为一个概念 ...

  2. Error at offset之反序列化

    关于PHP 序列化(serialize)和反序列化(unserialize)出现错误(Error at offset)的解决办法. 首先我们分析一下为什么会出现这个错误: 编码问题 UTF-8: AN ...

  3. 前端性能优化:Add Expires headers

    前端性能优化:Add Expires headers Expires headers 是什么? Expires headers:直接翻译是过期头.Expires headers 告诉浏览器是否应该从服 ...

  4. 翻译 | The Principles of OOD 面向对象设计原则

    本文首发于vivo互联网技术微信公众号 https://mp.weixin.qq.com/s/Q_pziBUhKRywafKeY2T7YQ 作者:Robert C. Martin 翻译:张硕 本文由来 ...

  5. 20155229《网络对抗技术》Exp6:信息收集与漏洞扫描

    实验内容 (1)各种搜索技巧的应用 (2)DNS IP注册信息的查询 (3)基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点 (4)漏洞扫描:会扫,会看报告,会查漏洞说明,会修补 ...

  6. SQL Server 启动时发生错误1069:由于登录失败而无法启动

    解决方法:    (1). 我的电脑--控制面板--管理工具--服务--右键MSSQLSERVER--属性--登陆--登陆身份--选择"本地系统帐户".    (2). 我的电脑- ...

  7. Android开发——高斯模糊效果的简单实现

    0. 前言 在Android开发中,经常在音乐软件中看到高斯模糊效果. 在找遍了所有高斯模糊的算法代码后,发现stackblur的Java实现是最快的.效果如下所示. 1.  高斯模糊效果实现 Bit ...

  8. [Oracle]跨越 DBLINK 访问表时,数据缓存在何处的Data Buffer 中?

    结论是存储在 remote 端,这其实也很好理解.在远端能高效率地计算,当然应当在远端完成缓存和检索. ■ Before query execution via DBLINK: =========== ...

  9. [CTSC2006]歌唱王国

    [CTSC2006]歌唱王国 Tags:题解 题意 链接:在空串后不断随机添加字符,直到出现串\(S_i\)为止.求最终串的期望长度.\(\sum |S_i|\le 5*10^6\) 题解 以下内容来 ...

  10. 设计模式 笔记 解释器模式 Interpreter

    //---------------------------15/04/26---------------------------- //Interpreter 解释器模式----类行为型模式 /* 1 ...