勒索病毒盯上微信支付！过万名用户被感染！

本篇文章3717字，读完约9分钟

还看敲诈病毒！我这次用的是手机支付！

12月4日，信息安全公司“天鹅绒安全实验室”发布消息称，12月1日爆发的“微信支付”软件正在迅速传播，被感染的电脑数量正在增加。

从索要比特币到利用微信二维码收集勒索钱财，黑客们实际上是“与时俱进”。随着黑客通过移动支付工具敲诈勒索的曝光，移动支付安全的警钟再次敲响。

1

勒索病毒盯上移动支付

12月5日，《国际金融新闻》记者从腾讯获悉，12月1日，腾讯电脑管家得到网民的帮助，称其电脑感染了一款以手机扫描码支付为赎金支付渠道的勒索软件。病毒入侵成功后，首先锁定用户文件，然后弹出微信二维码，要求用户扫描该码支付110元赎金并获取解密密钥。

根据天鹅绒安全团队的监测，截至12月3日，已有2万多名用户感染了该病毒，受感染的计算机数量仍在增加。病毒生产商使用豆瓣等平台作为发布指令的平台；；c服务器，除了锁定受害人的文件索要赎金外，还盗取了用户的各种账户密码，包括淘宝、天猫、支付宝、163邮箱、百度云盘、京东和qq账户。

据腾讯电脑管家透露的数据，截至12月4日，整个网络的用户数量已经超过1万。

腾讯电脑管家告诉《国际金融新闻》记者，从多个用户机器的提取和后台数据的追踪来看，该软件的传播源是一个简单的语言软件，名为“账户操作3.1”，可以直接登录多个聊天账户，实现切换管理。值得注意的是，病毒传播者也使用黑色和灰色的生产工具，如更新海藻多版。exe，小印象邀请注册v1.0.vmp.exe，[v soft]比萨标题多线程邀请，注册v1.0.vmp.exe，优化1.5.vmp.exe由优秀团体，阅读7.0.exe由[海藻公社]多线程，更新海藻_激活。exe，主要用于多帐户登录或通过刷机传播病毒。

根据腾讯电脑管家的监控，unname1989 ransomware还会感染易语言编译环境的静态库krnln_static.lib和第三方易语言库“精益模块”，当使用易语言开发工具在被感染的电脑上开发其他应用时，会导致病毒传播。

"不同于其他ransomware，这个ransomware没有修改文件后缀名称."腾讯电脑管家的技术专家李铁军告诉《国际金融新闻》记者:“一旦被感染，该软件就会对用户电脑上的txt和办公文件等有价值的数据进行加密，并在桌面上弹出‘你的电脑文件已经加密，点击这里解密’的快捷方式。之后，解密教程和支付二维码弹出，最终受害用户被迫通过手机转账支付解密费用。”

12月4日，腾讯回应称，新的赎金软件通过加密电脑上的文档、jpg和其他常见文件，然后使用微信支付二维码来勒索赎金。微信已经禁止了涉案软件作者的账号，并紧急冻结了收藏的二维码。微信用户的财产和账户安全没有受到威胁。

腾讯提醒用户，该软件可以通过任何形式的支付要求转账。万一发生勒索，不要付钱，要及时报警。

天鹅绒安全团队建议，除了对锁定文件进行防病毒和解密之外，受感染的用户应该尽快修改平台密码。

支付宝也在12月4日表示，目前没有支付宝账户受到影响。对于这种风险，支付宝风险控制系统有针对性的保护，包括短信校验码的二次验证、人脸识别等。即使密码泄露，也能最大限度地保证账户安全。

然而，当记者问及如何防止手机支付成为“黑制作”的帮凶时，腾讯安全相关人士强调，“只有敲诈者才会用QR码来收钱。”这件事与付款无关。现在很多媒体发布带有一定误导性的信息，让用户认为微信支付的二维码是一个勒索软件。”蚂蚁金服表示，细节不便透露。

2

背后的“黑色产业链”

随着网络软件攻击模式的进一步升级，网络软件在经历了单枪匹马的发展阶段后，表现出了组织帮派和产业链的特点。

腾讯遇见威胁情报中心发现，一个完整的勒索软件攻击过程涉及五个角色:勒索软件作者、勒索者、通信渠道提供商、代理人和受害者，从业者之间的分工非常明确。

具体来说，软件作者负责针对安全软件准备和生产软件；勒索者定制专属病毒，并联系通信渠道发送；代理人向受害者谎称他可以解密由各种勒索软件加密的文件，但实际上与勒索者合作，以赚取受害者的赎金。

事实上，“敲诈病毒”早在30年前就出现了，相关的敲诈事件并不少见。Ransomware最早出现在1989年，当时毕业于哈佛大学的约瑟夫·波普(joseph l.popp)创建了第一个ransomware病毒艾滋病木马。

1996年，哥伦比亚大学(Columbia University)和ibm的安全专家写了一份名为《密码病毒学》(cryptovirology)的文件，该文件清楚地概述了ransomware的概念:使用恶意代码干扰中毒者的正常使用，只有付费才能恢复正常。

2013年底，一种名为cryptolocker的病毒出现了，比特币首次被用作勒索货币。在病毒出现后的一个月内，它感染了数百万台电脑，每台电脑被收取27美元的勒索费。

2017年10月，一款名为“badrabbit”的新ransomware攻击了欧洲各地，三家俄罗斯媒体首先遭到攻击，其次是德国、土耳其、乌克兰和保加利亚。

去年的“冒名顶替”事件造成了巨大的损失。在瑞星发布的软件分析报告中，wannacry是年度损失之王。到目前为止，由于病毒变异体的出现，艾滋病还在继续传播。

根据腾讯遇见威胁情报中心的监测，学校、传统行业和政府机构是万能可近期攻击行业的主要目标群体，学校被攻击的比例占35%。360公司对国内爆发近17个月的恶意软件感染进行了统计。2018年第三季度，每天仍有约6，000至14，000例感染。

今年8月，腾讯智能安全威胁情报中心称，许多国内大型企业在同一天遭到全球冒名顶替者软件的攻击。黑客利用rdp/smb暴力破解入侵内网，在内网中传播，并抛出globelmposter中间件，导致系统损坏，影响正常工作秩序。

根据阿里巴巴云的统计，阿里巴巴云平台在2018年第三季度截获了约836亿次攻击，其中利用永恒蓝色漏洞的攻击数量占近三分之一。

根据美国联邦调查局(fbi)发布的互联网犯罪报告，2017年，赎金在北美造成约234万美元的损失，而2016年约为243万美元，2015年为160万美元。

互联网安全人士告诉《国际金融新闻》记者，与去年相比，该软件在业内被称为“小学生”级病毒，但它攻击了我们生活中不可或缺的移动支付，因此移动支付的安全性值得关注。

李铁军还直言不讳地表示，由于病毒传播者往往忽视反病毒软件的拦截技巧，这些软件攻击特定人群，定向传播非常有效。近年来，随着互联网技术的飞速发展，中间件的数量迅速增加。许多软件不是高水平的，但是有深远的社会影响。

3

敲响网络安全的警钟

根据工业和信息化部近日公布的2018年第三季度网络安全威胁情况，公共互联网网络安全形势依然严峻，将对移动恶意程序进行专项治理。

据工业和信息化部统计，今年第三季度，用户数据泄露事件频发，涉及互联网、物流、酒店等各行各业的企业，信息记录高达数亿条，怀疑是植入企业服务器或手持终端的恶意程序和不完善的内部安全管理机制造成的。随着“云上企业”的流行，国内外许多云计算平台相继出现故障，导致用户大规模异常访问和用户数据丢失等问题，这表明云计算平台在管理、运行维护和保护方面仍存在诸多不足。

工业和信息化部表示，下一步将组织地方通信管理部门、电信运营商、互联网公司、域名机构等单位开展针对移动恶意程序的专项治理工作，及时发现和消除移动恶意程序等网络安全威胁。

对于这类网络黑产品，微信表示对任何形式的网络黑产品犯罪都“零容忍”，并一直在持续打击网络黑产品，实现了全链精准打击。支付宝表示，在智能风险控制的保护下，支付宝的损失率低至万分之五。即使账户被盗的可能性很小，支付宝也承诺全额支付。

据李铁军介绍，经过紧急处理，腾讯电脑管理器已经完成了病毒破解，并在一夜之间发布了本地解密工具的测试版，结合了腾讯电脑管理器内置的软件行为拦截功能和文档守护功能。腾讯的电脑管家推出了一套三重安全防御系统，可以预先备份，事后拦截和破解，帮助被招募的网民杀死病毒，最大限度地修复加密和损坏的文件。

李铁军指出，计算机管家的内置文件监护功能使用磁盘冗余空来备份文件数据。在某些极端情况下，一旦发生事故，用户可以使用管家工具箱中的文档监护人来恢复文档。

此外，李铁军说，电脑管家内置了对ransomware的行为拦截方案，即使是一些未知的ransomware，在防御开启时仍然可以成功防御。计算机管家团队已经破解了软件的加密机制。对于被招募的用户，他们可以使用破解工具直接下载和解密文档。

中国支付网创始人刘刚表示，新颁布的《电子商务法》明确规定，“电子支付服务提供者提供的电子支付服务不符合国家相关支付安全管理要求，给用户造成损失的，应当承担赔偿责任。”

刘刚指出，在面向所有人的移动支付时代，黑色财产的支付将变得越来越激烈。由于移动互联网的普及，侵犯人们账户中的财产将比以前更容易。特别是，许多账户密码都与支付相关。因此，网民们应该比以前更加关注各种账户的安全，防止资金被黑产品“拖库”和“撞库”而被盗，不要随意泄露自己的支付密码、身份证号码等重要信息。

来源：搜狐微门户