所謂的“‘微信支付’勒索病毒”相信這兩天已經(jīng)讓很多人人心惶惶了。
我們先來簡(jiǎn)單看一下經(jīng)過�,12 月 1 日,火絨安全實(shí)驗(yàn)室發(fā)布報(bào)告稱����,近期火絨團(tuán)隊(duì)接到用戶反饋,使用“微信二維碼掃描”進(jìn)行勒索贖金支付的勒索病毒 Bcrypt 正在大范圍傳播——該病毒為新型勒索病毒���,入侵電腦運(yùn)行后,會(huì)加密用戶文件,但不收取比特幣�,而是要求受害者掃描彈出的微信二維碼支付 110 元贖金����,獲得解密鑰匙��,這也是國內(nèi)首次出現(xiàn)要求微信支付贖金的勒索病毒�。
病毒作者謊騙用戶稱“因密鑰數(shù)據(jù)較大如超出個(gè)這時(shí)間(即 2 天后)服務(wù)器會(huì)自動(dòng)刪除密鑰���,此解密程序?qū)⑹?rdquo;��,但實(shí)際解密密鑰存放在用戶本地��,在不訪問病毒作者服務(wù)器的情況下,也完全可以成功解密。
根據(jù)火絨實(shí)驗(yàn)室的研究��,該病毒的傳播路徑是:
Bcrypt 勒索病毒通過供應(yīng)鏈污染的方式正在進(jìn)行大范圍傳播����,病毒制造者利用豆瓣等平臺(tái)當(dāng)作下發(fā)指令的C&C服務(wù)器,植入被大量開發(fā)者使用的“易語言”編程程序,進(jìn)而植入他們編寫的各種軟件產(chǎn)品���,所有使用這些軟件產(chǎn)品的電腦都可能被感染。活躍的染毒軟件超過 50 款,其中多數(shù)是“薅羊毛”類灰色軟件�����。
病毒會(huì)借助被感染的易語言編譯環(huán)境為跳板�����,之后病毒會(huì)通過從被感染環(huán)境編譯出的易語言程序在互聯(lián)網(wǎng)中大范圍擴(kuò)散�。此類受影響的易語言程序眾多�����,其中還包含有一些易語言程序下載平臺(tái)(如:萬軟平臺(tái)����、賺客吧等)�。易語言開發(fā)人員開發(fā)環(huán)境被感染后,編譯出帶毒的易語言程序,再上傳到各大程序下載平臺(tái)上供用戶下載,從而使病毒在更廣的范圍內(nèi)進(jìn)行傳播�����。
12 月 2 日�,火絨團(tuán)隊(duì)表示該勒索病毒已被其成功破解,并發(fā)布了解密工具。
隨后�,騰訊管家和支付寶等均發(fā)表了聲明�。
騰訊管家表示����,微信已第一時(shí)間對(duì)所涉勒索病毒作者賬戶進(jìn)行封禁,收款二維碼予以緊急凍結(jié)����,微信用戶財(cái)產(chǎn)和賬戶安全不受任何威脅�。
支付寶則表示已第一時(shí)間跟進(jìn)���,目前沒有一例支付寶賬戶受到影響�����,并表示針對(duì)此類風(fēng)險(xiǎn)支付寶風(fēng)控系統(tǒng)早有針對(duì)性的防護(hù),包括二次校驗(yàn)短信校驗(yàn)碼�、人臉識(shí)別等���。即便密碼泄露�,也能最大程度的確保賬戶安全�。
支付寶的工作人員還告訴虎嗅:“不管用戶是因?yàn)橹辛四抉R泄露了密碼,還是其他網(wǎng)站被拖庫后黑灰產(chǎn)來撞庫����,對(duì)于支付寶風(fēng)控系統(tǒng)來講���,都屬于密碼泄露類風(fēng)險(xiǎn)��,密碼已不足以做核身。密碼泄露是互聯(lián)網(wǎng)上歷史悠久的風(fēng)險(xiǎn)��,我們的風(fēng)控很早就覆蓋了這類風(fēng)險(xiǎn)����。就算你的密碼泄露了,我們的風(fēng)控也能做好保護(hù)�����。萬一還是被盜了���,我們會(huì)全額賠付���。”
12 月 5 日��,火絨安全實(shí)驗(yàn)室再次發(fā)布公告稱���,根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估,截至 4 日晚�����,該病毒至少感染了 10 萬臺(tái)電腦���,不光鎖死電腦文件,還竊取了數(shù)萬條淘寶�、支付寶等平臺(tái)的用戶密碼等信息��。
目前,火絨團(tuán)隊(duì)發(fā)現(xiàn)所有相關(guān)信息都指向同一主體:姓名(羅**)�、手機(jī)(1********45)���、QQ(1*****86)���、旺旺賬號(hào)名(l****96)����、郵箱(29*****@qq.com)��?;鸾q已將上述個(gè)人信息�,和被竊取的受害用戶支付寶密碼等信息,一并交給警方�����。
關(guān)于這件事兒�,基本上就是上面的情況,盡管感染了 10 萬多臺(tái)電腦�,但所幸沒有造成用戶的財(cái)產(chǎn)損失���。
接下來���,我覺得有幾點(diǎn)是需要厘清和反思的。
第一,這個(gè)事兒暴露了黑產(chǎn)、灰產(chǎn)是一個(gè)多么龐大的產(chǎn)業(yè)鏈,我們來簡(jiǎn)化一下它的傳播路徑:病毒編寫者 - 編程軟件 - 應(yīng)用軟件 - 用戶���。而根據(jù)火絨軟件追蹤到的,這些被感染的軟件都是一些薅羊毛類的灰產(chǎn)軟件。所以本質(zhì)上是一個(gè)黑吃黑的事件��。
在接受虎嗅采訪時(shí)����,騰訊安全實(shí)驗(yàn)室負(fù)責(zé)人 TK 分析認(rèn)為:“從現(xiàn)有的報(bào)告來看,這跟當(dāng)年的熊貓燒香差不多。你說為什么這么傳播廣�,寫易語言程序的人��,他寫的程序本身是會(huì)被殺毒軟件干掉的,黑產(chǎn)或灰產(chǎn)的程序本身就是這些人寫的,會(huì)被很多殺毒軟件查殺,所以他們(被感染的這些)自身也不會(huì)裝這些殺毒軟件��。”所以這些人開發(fā)的薅羊毛軟件被感染了病毒而不自知�����。
這件事兒本質(zhì)上一個(gè)違法犯罪分子利用了另一群違法犯罪分子的軟件漏洞進(jìn)行違法犯罪���,如果沒有這次的時(shí)間���,我們可能很難具象地感知到黑產(chǎn)�、灰產(chǎn)這條產(chǎn)業(yè)鏈有多大��,這次讓我們得以明確窺見其冰山一角�����。也建議警方借此機(jī)會(huì)順藤摸瓜,看是否能牽出一條灰產(chǎn)、黑產(chǎn)產(chǎn)業(yè)鏈。如果僅是抓獲病毒作者,這事兒的意義就大打折扣了�����。
第二��,感謝火絨安全實(shí)驗(yàn)室發(fā)現(xiàn)并報(bào)告、追蹤了該病毒的存在���,并及時(shí)上報(bào)、破解����,幫助用戶及時(shí)止損�,也提醒了支付寶����、微信支付和各種殺毒軟件迅速采取措施,但火絨實(shí)驗(yàn)室從 2 日開始的幾次報(bào)告都直接把 Bcrypt 病毒稱為“微信支付勒索病毒”����,是不嚴(yán)謹(jǐn)?shù)?、不科學(xué)的。
用戶只是另辟蹊徑地選擇了“微信支付”����,并且也非常體貼��,只收 110 元(跟報(bào)警電話一樣的數(shù)字,很難說這不是病毒作者向警方挑釁或戲謔)��,就把這個(gè)病毒跟微信支付緊密地團(tuán)結(jié)在一起��,會(huì)誤導(dǎo)用戶是微信支付出現(xiàn)了重大的安全漏洞����。而實(shí)際上正如火絨實(shí)驗(yàn)室在報(bào)告中所言:“火絨團(tuán)隊(duì)的分析表明�����,微信支付���、支付寶和豆瓣等平臺(tái),均與該病毒的傳播和作惡沒有直接關(guān)系����,也沒有發(fā)現(xiàn)有系統(tǒng)漏洞被利用���。”
所以既然這個(gè)事兒跟微信支付沒什么關(guān)系���,還是希望如此嚴(yán)謹(jǐn)?shù)陌踩珗F(tuán)隊(duì)在報(bào)告的時(shí)候就別用“微信支付勒索病毒”這個(gè)錯(cuò)誤的表述了�,否則使用微信支付的中國用戶有幾億人�,這是多大的恐慌?別好心辦壞事兒。
第三���,對(duì)普通用戶的一點(diǎn)提醒:遇到這種事兒,別付款�,趕緊報(bào)警�。
?。?a href="http://www.dianayi.cn">邯鄲網(wǎng)站建設(shè))
