勒索病毒盯上微信支付二維碼

楊鑫倢

2018年12月1日，一種新型的勒索病毒在國(guó)內(nèi)爆發(fā)，多名用戶稱，其電腦感染一款使用手機(jī)掃碼支付作為贖金支付渠道的病毒。

12月5日，據(jù)國(guó)家互聯(lián)網(wǎng)安全應(yīng)急中心報(bào)告，該病毒采用“供應(yīng)鏈感染”方式進(jìn)行傳播，通過論壇傳播，植入病毒的“易語言”編程軟件，進(jìn)而植入各開發(fā)者開發(fā)的軟件，傳播勒索病毒；同時(shí)，該病毒還竊取用戶的賬號(hào)密碼，包括淘寶、天貓、支付寶、QQ等。

該勒索病毒在感染用戶計(jì)算機(jī)后，不會(huì)勒索比特幣，而是彈出微信支付二維碼，這也是國(guó)內(nèi)首次出現(xiàn)要求使用微信支付的勒索病毒。

目前，騰訊微信團(tuán)隊(duì)判定該支付二維碼存在違規(guī)行為，所涉勒索病毒作者賬戶已被封禁，收款二維碼被緊急凍結(jié)。此外，微信方面強(qiáng)調(diào)，這款勒索病毒是電腦病毒，跟手機(jī)沒有關(guān)系，微信也沒有出現(xiàn)病毒，不管是蘋果手機(jī)還是安卓手機(jī)，都不會(huì)被感染。

支付寶安全中心表示，目前沒有一例支付寶賬戶受到影響。支付寶稱，針對(duì)此類風(fēng)險(xiǎn)，支付寶風(fēng)控系統(tǒng)早有針對(duì)性的防護(hù)，包括二次校驗(yàn)短信校驗(yàn)碼、人臉識(shí)別等。即便密碼泄露，也能最大程度地確保賬戶安全。

據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估，截至12月4日晚，該病毒至少感染了10萬臺(tái)電腦，不光鎖死電腦文件，還竊取了數(shù)萬條淘寶、支付寶等平臺(tái)的用戶密碼等信息。

火絨團(tuán)隊(duì)通過逆向分析病毒的下發(fā)指令，解密出其中2臺(tái)病毒服務(wù)器，發(fā)現(xiàn)大量被病毒竊取的用戶個(gè)人信息。僅1臺(tái)用于存儲(chǔ)數(shù)據(jù)的病毒服務(wù)器，就存放了竊取來的淘寶、支付寶等賬戶密碼兩萬余條。其中，淘寶、天貓、支付寶的賬戶密碼數(shù)據(jù)最多。

另?yè)?jù)360團(tuán)隊(duì)分析，查到已受感染的電腦軟件超過900款。據(jù)了解，其中多數(shù)是“薅羊毛”類灰色軟件。

據(jù)騰訊電腦管家檢測(cè)，目前全網(wǎng)中招用戶已經(jīng)過萬。目前，騰訊電腦管家、360安全衛(wèi)士、火絨都已破解這款新型的勒索病毒，用戶可通過這些安全軟件進(jìn)行防御。這樣一個(gè)影響面巨大的勒索病毒，始作俑者可能是一個(gè)95后。

騰訊電腦管家團(tuán)隊(duì)認(rèn)為，目前，雖然不清楚具體的總贖金金額，但由于該病毒沒有自我擴(kuò)散能力，基本不會(huì)大規(guī)模擴(kuò)散。

安全專家李鐵軍告訴記者，病毒本身寫得很爛，很輕松就完全解密了，專業(yè)的病毒作者恐怕也不會(huì)實(shí)名制的移動(dòng)支付二維碼收錢。

這類直接感染源代碼或代碼編譯程序手法，安全行業(yè)從業(yè)者應(yīng)該不陌生。

2015年9月，就曾出現(xiàn)過震驚世界的iOS應(yīng)用感染XCodeGhost病毒的事件。由于大量蘋果開發(fā)者使用了被感染的XCode開發(fā)工具，導(dǎo)致眾多iOS應(yīng)用攜帶了惡意代碼，盜取用戶信息。這其中甚至包括了很多幾乎所有人都會(huì)使用的一些“必備應(yīng)用”，也均未能幸免。？？？