你的電腦文件已被加密,點此解密。" 近日,有網絡安全團隊發現,一款新型勒索病毒正在快速傳播。如果不幸中招,受害者需掃描彈出的微信支付二維碼,給對方轉賬 110 元贖金,才能獲得解密鑰匙。
除加密受害者文件勒索贖金外,這款病毒還會偷竊用戶的各類賬號,包括淘寶、天貓、阿里旺旺、支付寶、163 郵箱、百度雲盤、京東、QQ 賬號。網絡安全專家提醒,被感染的用戶儘快修改上述平臺密碼。
有網絡安全公司統計,截至 4 日晚,至少有 10 萬臺電腦遭到感染。360 互聯網安全中心安全研究員王亮表示,12 月 4 日,該勒索病毒的控制指令關閉之後,感染計算機數量沒有進一步增加了,但是已感染的計算機還有不少沒有查殺病毒,並且感染源也仍然存在。
在國內尚屬首次
儘管此次勒索病毒來勢洶洶,但目前國內已有多家網絡安全公司表示,已完成病毒破解,連夜發佈了相關工具,可最大限度幫助已中招的網友查殺病毒,並修復被加密破壞的文件。
此外,記者從騰訊方面瞭解到,涉及勒索收款的賬戶已於 12 月 2 日晚已被列入異常名單遭到封禁、收款二維碼予以緊急凍結。" 微信支付用戶財產和賬戶安全不受任何威脅, " 騰訊相關負責人說,勒索者是用二維碼收款,而非微信支付出現漏洞。
與此前席捲全球的 "WannaCry",勒索者通過比特幣收取贖金不同,此次勒索病毒是通過微信二維碼支付,在國內尚屬首次。
騰訊電腦管家技術專家李鐵軍說,從多個用戶機器提取和後臺數據數據追溯看,該勒索病毒的傳播源是一款叫 " 賬號操作 V3.1" 的易語言軟件,可以直接登錄多個聊天帳號實現切換管理。
" 易語言 " 是軟件開發者用以編程的一個模塊,一旦軟件攜帶了該勒索病毒,那麼經用戶下載後,用戶的電腦就會中招。火絨安全團隊發佈的一篇解析文章指出,病毒製作者將豆瓣等平臺當作下發指令的 C&C 服務器,該團隊通過解密下發的指令發現,已有數萬條涉及多個平臺的賬號信息被病毒作者秘密收取。
12 月 4 日,支付寶安全團隊回應此事,該勒索病毒僅出現在 PC 端,被感染的電腦會記錄鍵盤行為,獲取用戶在給類平臺輸入的密碼信息,建議用戶及時安裝安全軟件查殺病毒。
支付寶安全中心微博回應。
支付寶方面表示,目前尚未收到支付寶賬戶受影響的用戶反饋。即使密碼洩露,也能最大程度確保賬戶安全。因為該公司的風控系統有針對性防護措施,包括二次校驗短信校驗碼、人臉識別等。如果出現小概率事件的賬戶被盜,用戶也會得到全額賠付。
如何防範?
國家互聯網應急中心提醒廣大用戶及時採取如下措施進行防範:
1、安裝並及時更新殺毒軟件,目前市場主流反病毒軟件都已支持針對該勒索病毒的防護與查殺。
2、不要輕易打開來源不明的軟件,該勒索病毒通過易語言編寫的程序傳播,減少使用來源不明的軟件可有效預防。
3、如已經感染勒索病毒,可使用相關解密工具嘗試解密。目前,許多公司已經針對該勒索病毒開發瞭解密工具,包括火絨 Bcrypt 專用解密工具、騰訊電腦管家 " 文檔守護者 "、360 安全衛士 "360 解密大師 " 等。(解密工具鏈接附後)
4、已感染勒索病毒的用戶,在清除病毒後,儘快修改淘寶、天貓、支付寶、QQ 等敏感平臺的密碼。
5、定期在不同的存儲介質上備份計算機中的重要文件。
附:解密工具
https://www.huorong.cn/info/1543706624172.html(火絨 Bcrypt 專用解密工具)
https://guanjia.qq.com/news/n3/2444.html(騰訊電腦管家 " 文檔守護者 ")
http://www.360.cn/n/10496.html(360 安全衛士 "360 解密大師 ")
花幾小時找到勒索病毒作者
正在打 LOL
360 互聯網安全中心安全研究員王亮說,勒索病毒作者在病毒代碼裡面留下了一些能關聯到身份的信息,比如病毒中內嵌的 GitHub 的鏈接中有他的 QQ 號碼,使用的 SQL 服務器登錄口令也包含了作者的姓名簡寫和生日等。
" 再結合網絡留下的信息能夠相互印證,也就定位到了具體的作者。整個過程並不複雜,幾個小時就完成了。" 據王亮介紹,在掌握這些線索之後,他們已經將相關信息提交給警方和主管部門了。
記者瞭解,目前勒索病毒作者姓名、電話號碼、郵箱、百度雲賬號、生日等信息均可知。4 日晚,微博網友 " 雕哥創始人 " 曬出的兩張與勒索病毒作者的聊天截圖顯示,對於別人知道他真名和 QQ 號,今年 22 歲的羅某表示意外,並稱 " 打 LOL 中,再見。"
圖自微博網友 " 雕哥創始人 "。
22 歲犯罪嫌疑人已被刑拘
12 月 6 日晚間,平安東莞官方微博發佈通報稱,日前備受關注的新型勒索病毒案告破,犯罪嫌疑人羅某今年 22 歲,廣東茂名人。對於製作新型勒索病毒一事,羅某表示供認不諱。
據警方通報,東莞網警支隊獲悉省廳網警總隊下發的線索後,於 12 月 4 日 22 時確定羅某某的真實身份,並在 12 月 5 日 15 時將其抓獲。至此,該案在 24 小時內火速偵破,抓獲病毒研發製作者1名,繳獲木馬程序和作案工具一批。
經審訊,嫌疑人羅某供述今年 6 月,他自主研發出病毒 "cheat",用於盜取他人支付寶賬號密碼,進而以轉賬方式盜取資金。同時,他製作內含 "cheat" 木馬病毒代碼的某開發軟件模塊,在互聯網上發佈,致使全網超過 10 萬臺計算機被感染。過程中,他因此非法獲取淘寶、支付寶、百度網盤、郵箱等各類用戶賬號、密碼數據約 5 萬餘條,
據悉,嫌疑人羅某已被警方依法刑事拘留,案件正在進一步審理中。
北京市京師律師事務所律師王琮瑋說,製作和傳播病毒行為涉嫌非法提供侵入和控制計算機信息系統罪、非法獲取計算機信息系統罪、破壞計算機信息系統罪等。
根據刑法第 286 條規定,故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
閱讀更多 哈爾濱新聞綜合頻道 的文章
