受害者需掃描彈出的微信支付二維碼,給對方轉賬110元贖金,才能獲得解密鑰匙。
除加密受害者文件勒索贖金外,據火絨安全團隊介紹,這款病毒還會偷竊用戶的各類賬號,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號。網絡安全專家提醒,被感染的用戶儘快修改上述平臺密碼。
有網絡安全公司統計,截至4日晚,至少有10萬臺電腦遭到感染。360互聯網安全中心安全研究員王亮表示,12月4日,該勒索病毒的控制指令關閉之後,感染計算機數量沒有進一步增加了,但是已感染的計算機還有不少沒有查殺病毒,並且感染源也仍然存在。
在國內尚屬首次
儘管此次勒索病毒來勢洶洶,但目前國內已有多家網絡安全公司表示,已完成病毒破解,連夜發佈了相關工具,可最大限度幫助已中招的網友查殺病毒,並修復被加密破壞的文件。
此外,記者從騰訊方面瞭解到,涉及勒索收款的賬戶已於12月2日晚已被列入異常名單遭到封禁、收款二維碼予以緊急凍結。
“微信支付用戶財產和賬戶安全不受任何威脅,”騰訊相關負責人告訴南都記者,勒索者是用二維碼收款,而非微信支付出現漏洞。與此前席捲全球的“WannaCry”,勒索者通過比特幣收取贖金不同,此次勒索病毒是通過微信二維碼支付,在國內尚屬首次。
騰訊電腦管家技術專家李鐵軍告訴記者,從多個用戶機器提取和後臺數據數據追溯看,該勒索病毒的傳播源是一款叫 “賬號操作 V3.1”的易語言軟件,可以直接登錄多個聊天帳號實現切換管理。
“易語言”是軟件開發者用以編程的一個模塊,一旦軟件攜帶了該勒索病毒,那麼經用戶下載後,用戶的電腦就會中招。火絨安全團隊發佈的一篇解析文章指出,病毒製作者將豆瓣等平臺當作下發指令的C&C服務器,該團隊通過解密下發的指令發現,已有數萬條涉及多個平臺的賬號信息被病毒作者秘密收取。
12月4日,支付寶安全團隊回應此事,該勒索病毒僅出現在PC端,被感染的電腦會記錄鍵盤行為,獲取用戶在給類平臺輸入的密碼信息,建議用戶及時安裝安全軟件查殺病毒。
支付寶安全中心微博回應。
支付寶方面表示,目前尚未收到支付寶賬戶受影響的用戶反饋。即使密碼洩露,也能最大程度確保賬戶安全。因為該公司的風控系統有針對性防護措施,包括二次校驗短信校驗碼、人臉識別等。如果出現小概率事件的賬戶被盜,用戶也會得到全額賠付。
如何防範?
國家互聯網應急中心提醒廣大用戶及時採取如下措施進行防範:
1、安裝並及時更新殺毒軟件,目前市場主流反病毒軟件都已支持針對該勒索病毒的防護與查殺。
2、不要輕易打開來源不明的軟件,該勒索病毒通過易語言編寫的程序傳播,減少使用來源不明的軟件可有效預防。
3、如已經感染勒索病毒,可使用相關解密工具嘗試解密。目前,許多公司已經針對該勒索病毒開發瞭解密工具,包括火絨Bcrypt專用解密工具、騰訊電腦管家“文檔守護者”、360安全衛士“360解密大師”等。(解密工具鏈接附後)
4、已感染勒索病毒的用戶,在清除病毒後,儘快修改淘寶、天貓、支付寶、QQ等敏感平臺的密碼。
5、定期在不同的存儲介質上備份計算機中的重要文件。
附:解密工具
https://www.huorong.cn/info/1543706624172.html(火絨Bcrypt專用解密工具)
https://guanjia.qq.com/news/n3/2444.html(騰訊電腦管家“文檔守護者”)
http://www.360.cn/n/10496.html(360安全衛士“360解密大師”)
花幾小時找到勒索病毒作者
正在打LOL
360互聯網安全中心安全研究員王亮告訴記者,勒索病毒作者在病毒代碼裡面留下了一些能關聯到身份的信息,比如病毒中內嵌的GitHub的鏈接中有他的QQ號碼,使用的SQL服務器登錄口令也包含了作者的姓名簡寫和生日等。
“再結合網絡留下的信息能夠相互印證,也就定位到了具體的作者。整個過程並不複雜,幾個小時就完成了。”據王亮介紹,在掌握這些線索之後,他們已經將相關信息提交給警方和主管部門了。
記者瞭解,目前勒索病毒作者姓名、電話號碼、郵箱、百度雲賬號、生日等信息均可知。4日晚,微博網友“雕哥創始人”曬出的兩張與勒索病毒作者的聊天截圖顯示,對於別人知道他真名和QQ號,今年22歲的羅某表示意外,並稱“打LOL中,再見。”
圖自微博網友“雕哥創始人”。
22歲犯罪嫌疑人已被刑拘
12月6日晚間,平安東莞官方微博發佈通報稱,日前備受關注的新型勒索病毒案告破,犯罪嫌疑人羅某今年22歲,廣東茂名人。對於製作新型勒索病毒一事,羅某表示供認不諱。
據警方通報,東莞網警支隊獲悉省廳網警總隊下發的線索後,於12月4日22時確定羅某某的真實身份,並在12月5日15時將其抓獲。至此,該案在24小時內火速偵破,抓獲病毒研發製作者1名,繳獲木馬程序和作案工具一批。
經審訊,嫌疑人羅某供述今年6月,他自主研發出病毒“cheat”,用於盜取他人支付寶賬號密碼,進而以轉賬方式盜取資金。同時,他製作內含“cheat”木馬病毒代碼的某開發軟件模塊,在互聯網上發佈,致使全網超過10萬臺計算機被感染。過程中,他因此非法獲取淘寶、支付寶、百度網盤、郵箱等各類用戶賬號、密碼數據約5萬餘條,
據悉,嫌疑人羅某已被警方依法刑事拘留,案件正在進一步審理中。
北京市京師律師事務所律師王琮瑋告訴記者,製作和傳播病毒行為涉嫌非法提供侵入和控制計算機信息系統罪、非法獲取計算機信息系統罪、破壞計算機信息系統罪等。
根據刑法第286條規定,故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
閱讀更多 長沙晚報掌上長沙 的文章
