前几天,公司的小伙伴们突然都去下载了联通手机营业厅,仔细一问,原来是联通公司突然搞了一波年底福利,只要大家互相分享联通给的助力码,就能薅一波小羊毛~
只要邀请7个人,就可以拿到20块钱京东E卡,还能拿到惊喜平安夜的必中奖品,不限制运营商,管你是移动电信,甚至连固话都行,门槛低的发指。。
俗话说的好,哪里有福利,哪里就有羊毛党~
果不其然,在联通发布活动的当天,就有人抓住联通不验证手机号有效性的漏洞(现在已开始验证手机),做出外挂程序,想刷多少助力就刷多少。。
结果,羊毛党下载下来软件,羊毛还没有薅到,却反过来挨了一刀!
套路好像是去年WannaCry的翻版,一样的锁定文件加密,一样的敲诈勒索,过了一定时间不给钱就撕票。只不过,付款方式发生了变化——WannaCry用的是勒索比特币,而这个是110块的微信支付。。。
沙盒中运行的病毒
一开始这个病毒流行起来的名字叫做“微信勒索病毒”,其实只是勒索的付款方式是微信而已,并不是微信被病毒感染了。。
不知道是比特币最近掉价掉的太狠了,还是小伙子没加密钱包,他放弃了一名专业黑客的流行反侦察手段——加密货币。。
按理说都能制作病毒了,结果勒索用的是实名制的微信/支付宝?!这操作差评君实在不懂。。。反正,微信一接到群众的举报,立马就把二维码封了。
事实证明,这个病毒制作者可能还真的是个半吊子。。国内安全软件火绒,在这个病毒爆发的当晚11点半就发布了病毒分析结果,又仅过了7个小时就发布了破解病毒的工具,360安全也在同一时间发布了解密工具。
根据安全大佬们的分析,这个病毒很早就有了,只不过每天就感染那么几台,一直没有引起大家的注意。。
直到这个病毒制作者想到了一个骚操作。。
他上个月15号在一个专门学习易语言的网站“精易论坛”上分享了一个软件~(易语言是唯一以汉字作为程序代码的编程语言)
该资源已被管理员封禁
喜欢鼓捣各种小玩意儿的程序员们把它下载到电脑上,病毒便悄悄的开始工作。
病毒一方面不断把宿主电脑上的资料传回到病毒制作人那里,另一方面搜寻电脑上是否有易语言编程环境,如果有的话,病毒会立马感染易语言的核心静态库和精易模块(一种让易语言编程更傻瓜化的编程模块),这样整个编程环境编译出来的程序都会带有病毒。
精易模块被插入的恶意代码
而且易语言因为本身的语言特性,很容易被杀毒软件误报杀毒,所以大部分开发易语言的程序员不会装杀毒软件,他们被病毒感染了很难被发现。
虽然大部分学过编程的人都不怎么了解易语言,因为没有几个公司用它,但是在国内的外挂领域,易语言却很流行。
文章一开始出现的联通薅羊毛外挂就是通过感染了病毒的易语言环境制作出来的,以羊毛大军的庞大程度,感染病毒的电脑哗哗地涨,挡都挡不住。。
可能是病毒制作者太Naive,总想搞个大新闻。。看到感染病毒的电脑暴增,光偷数据显得没啥用,歪脑筋一动,决定学前辈WannaCry搞点零花钱。
结果技术不精,加密弱鸡、支付方式天真,分分钟就被安全大厂们摁到地上摩擦。。
而且火绒团队顺着病毒里的信息,通过多种线索印证,确定了病毒制作者的github网址和详细地不能再详细的个人信息。。
没想到,这位病毒制作者罗同学居然还是个95后。。
顺藤摸瓜,火绒团队还破解了他名下2台服务器后台,在里面,详细记录了病毒爬来的数据,因为病毒内嵌了盗号木马,所以感染病毒的电脑上天猫、支付宝、微信等各类账户密码都会被盗。
除此之外,它还记录了宿主电脑的详细硬件信息,难道是想搞大数据分析,按条件割韭菜?
病毒回传的数据种类
因为灰产软件在相关开发人员之间的流通性很高,又是供应链污染的传播方式,所以潜在被感染的用户很多。而且,病毒作者是通过“云控”的方式决定是否勒索,也就是没有出现微信勒索也不代表没有中病毒。。
所以,如果你曾经下载过下面这些或是类似的软件的话,最好用杀软杀一遍才比较稳妥~
差评君在看病毒制作者的Github时,发现有十几个人已经fork了该病毒二进制组件,所以不能排除有人想对病毒二次传播的可能性。。
至此,国产勒索病毒事件告一段落了,国内安全团队也把查到的相关资料交给了警方。
今天晚上,差评君又瞟了一眼罗同学的Github,发现他在今天下午五点把文件中与病毒相关的文件内容都改成了下面这句话:
估计他自己知道天网恢恢
可惜,这一次你恐怕不能轻轻的走了。
图片来源:
特别感谢:火绒安全团队
差评
雷锋网
360安全
参考资料:
火绒安全实验室,《“微信支付”勒索病毒愈演愈烈边勒索边窃取支付宝密码》
火绒安全实验室,《“微信支付”勒索病毒制造者被锁定传播、危害和疫情终极解密》
360黑板报,《沸沸扬扬的“微信支付勒索病毒”,始作俑者竟然是个95后!》
雷锋网,《国产勒索病毒竟然扫码要赎金?360首家支持破解》