雷鋒網(wǎng)消息，12月1日，首個(gè)要求“微信支付”贖金的勒索病毒在國內(nèi)爆發(fā)，截至4日晚，該病毒至少感染了10萬臺(tái)電腦，不光鎖死電腦文件，還竊取了數(shù)萬條淘寶、支付寶等平臺(tái)的用戶密碼等信息。

日均感染量圖，最高13134臺(tái)（從病毒服務(wù)器獲取的數(shù)據(jù)）

沒錯(cuò)，狡猾的黑客們這次放棄了把比特幣當(dāng)作贖金這種“不接地氣”的勒索方式，而是發(fā)起微信二維碼掃描進(jìn)行勒索贖金支付（勒索病毒Bcrypt）。用戶中毒重啟電腦后，會(huì)彈出勒索信息提示窗口，讓用戶掃描微信二維碼支付110元贖金進(jìn)行文件解密。

病毒作者謊騙用戶稱“因密鑰數(shù)據(jù)較大如超出個(gè)這時(shí)間（即2天后）服務(wù)器會(huì)自動(dòng)刪除密鑰，此解密程序?qū)⑹А保珜?shí)際解密密鑰存放在用戶本地，在不訪問病毒作者服務(wù)器的情況下，也完全可以成功解密。如下圖所示：

據(jù)火絨安全團(tuán)隊(duì)分析、溯源，該病毒巧妙地利用“供應(yīng)鏈污染”的方式進(jìn)行傳播。首先通過相關(guān)論壇，植入被大量開發(fā)者使用的“易語言”編程程序，進(jìn)而植入他們編寫的各種軟件產(chǎn)品，所有使用這些軟件產(chǎn)品的電腦都可能被感染?；钴S的染毒軟件超過50款，其中多數(shù)是“薅羊毛”類灰色軟件。

部分被感染軟件

另外，該勒索病毒開始勒索前，會(huì)在本地生成加密、解密相關(guān)數(shù)據(jù)，火絨工程師根據(jù)這些數(shù)據(jù)成功提取到了密鑰。此外，該勒索病毒只加密用戶的桌面文件，并會(huì)跳過一些指定名稱開頭的目錄文件，包括“騰訊游戲、英雄聯(lián)盟、tmp、rtl、program”，而且不會(huì)感染使用gif、exe、tmp等擴(kuò)展名的文件。

值得一提的是，該病毒會(huì)利用帶有騰訊簽名的程序調(diào)用病毒代碼，來躲避安全軟件的查殺。

截止到12月3日，已有超過兩萬用戶感染該病毒，并且被感染電腦數(shù)量還在增長。

供應(yīng)鏈污染流程

此外，火絨團(tuán)隊(duì)發(fā)現(xiàn)，病毒制造者利用豆瓣等平臺(tái)當(dāng)作下發(fā)指令的C&C服務(wù)器。工程師通過逆向分析病毒的下發(fā)指令，成功解密出其中2臺(tái)病毒服務(wù)器，發(fā)現(xiàn)大量被病毒竊取的用戶個(gè)人信息。僅1臺(tái)用于存儲(chǔ)數(shù)據(jù)的病毒服務(wù)器，就存放了竊取來的淘寶、支付寶等賬戶密碼兩萬余條。

被盜取的登錄信息數(shù)據(jù)統(tǒng)計(jì)信息

也就是說，中招用戶可能損失的不止是錢還有被該病毒竊取的各類賬戶密碼，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號(hào)。（各位該趕緊改密碼了?。?/p>

此外，該病毒還將受害電腦所有安裝的軟件進(jìn)行統(tǒng)計(jì)和信息回傳，通過對(duì)數(shù)據(jù)的分析發(fā)現(xiàn)，多數(shù)受害者沒有安裝安全軟件。

經(jīng)過進(jìn)一步分析，所有相關(guān)信息都指向同一主體——姓名（羅**）、手機(jī)（1********45）、QQ（1*****86）、旺旺賬號(hào)名（l****96）、郵箱（29*****@qq.com）。目前，病毒制造者個(gè)人信息及被竊取的受害用戶支付寶密碼等信息都已被交給警方。

至于微信支付、支付寶和豆瓣等平臺(tái)，均與該病毒的傳播和作惡沒有直接關(guān)系，也沒有發(fā)現(xiàn)有系統(tǒng)漏洞被利用。微信在12月1號(hào)當(dāng)天關(guān)閉了勒索贖金的賬號(hào)；豆瓣12月4號(hào)刪除了病毒下發(fā)指令的頁面，控制了病毒的進(jìn)一步傳播。

而廣大用戶也無需擔(dān)心，12月1日該病毒爆發(fā)后，眾多安全廠商都已升級(jí)產(chǎn)品，并發(fā)布各自的解密工具。使用這些安全軟件即可查殺該病毒，已經(jīng)被感染用戶，可以使用這些解密工具還原被鎖死的文件。

雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專注先鋒科技，講述黑客背后的故事。歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。