您当前的位置 :浙江在线 > 浙江新闻 > 浙江纵横 > 杭州 正文
“勒索病毒”绑上了微信支付 超2万用户被感染
2018年12月05日 10:11:43 来源: 都市快报

  近日,一款名为“UNNAMED1989”的微信扫码支付勒索病毒,通过伪造成私服、外挂工具在电脑端进行传播。除了锁死受害者文件勒索赎金,它还会大肆偷窃支付宝等密码。

  据记者了解,截至12月3日,至少已有2万用户感染该病毒,被感染电脑数量还在增加。

  12月4日,腾讯安全团队宣布,经过紧急处置,已第一时间对该病毒进行破解,并连夜研发解密工具,即便用户重装系统或者其他原因丢失密钥也能完全恢复被加密的文件。

  支付宝安全中心也表示,早有针对性防护,已第一时间跟进,目前没有一例支付宝账户受到影响,即便密码泄露也能最大程度地确保账户安全。

  国内首次出现

  要求微信支付赎金的勒索病毒

传播源是一款叫 “账号操作 V3.1”的易语言软件

  据中毒用户反映,该病毒入侵电脑运行后,会加密用户文件,主要是用户电脑中的txt、JPG、office文档等有价值数据,加密文件中留下一个“解密工具”的图标,引导用户支付赎金。用户点击这个图标后,会跳转到一个二维码页面。用户通过微信“扫一扫”功能支付110元赎金,黑客描述称收到赎金后方可解密。

病毒入侵电脑运行后,会加密用户文件

支付赎金的二维码

  这也是国内首次出现要求微信支付赎金的勒索病毒。此前,国外曾多次发生类似的勒索病毒,但均要求用比特币一类的加密币支付赎金,以避开警方追查。

  目前,该收款二维码已被微信官方冻结。

  值得注意的是,该勒索病毒会跳过一些指定名称开头的目录文件,比如“腾讯游戏”“英雄联盟”等,而且不会感染使用gif、exe、tmp等扩展名的文件。

  此外,感染该病毒的电脑,还会记录并传输用户的键盘行为,获取用户在各类平台输入的密码信息,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ号等,危害极大。

  腾讯安全团队从多个用户机器提取和后台数据追溯看,该病毒的传播源是一款叫 “账号操作 V3.1”的易语言软件,可以直接登录多个QQ账号实现切换管理。

  更为严重的是,病毒传播者还利用更新海草多开版.exe、小印象邀请注册v1.0.vmp.exe、【v软】披萨头条多线程邀请、注册v1.0.vmp.exe、优优群优化1.5.vmp.exe、【海草公社】多线程阅读7.0.exe、更新海草_已激活.exe等黑灰产传播工具。

  所谓黑灰产,是指不法分子利用互联网技术实施偷盗、诈骗、敲诈的产业。

  腾讯安全专家李铁军说,病毒传播者使用的“账号操作 V3.1”等工具本来可以直接被杀毒软件查杀,但由于使用上述黑灰产专用工具的用户,已经习惯了完全无视杀毒软件的安全警告。因而在这些人群中,中招率极高。

  也就是说,该勒索病毒是先从网络黑灰产从业者中开始的,有点“黑吃黑”的味道,不过目前该病毒已经开始向普通用户蔓延。

  安全厂商

  已为网友提供多个版本解密工具

  该病毒仅出现数小时后,腾讯电脑管家即发布破解其加密机制,为网友提供多个版本的解密工具。

  据李铁军介绍,目前该工具配合腾讯电脑管家内置的勒索病毒行为拦截功能、文档守护者功能,已形成三重安全防御体系,做到事前备份、事中拦截、事后破解,最大限度帮助已中招的网友查杀病毒并修复被加密破坏的文件。

  也就是说,即使电脑不幸中招,有文件被锁死,也可以通过电脑管家完全恢复。

  针对该类病毒的攻击特点,李铁军建议,安装主流杀毒软件并保持实时运行状态,对于已经中招的用户,推荐使用腾讯电脑管家提供的无密钥解密文档工具,可第一时间完全解密并恢复文件。

  没有安装腾讯电脑管家的用户,也可以单独下载解密工具,恢复被UNNAMED1989勒索病毒加密的文档。即使电脑已经重装过系统,一样也可以通过该工具完成解密。

  李铁军详细介绍了防御勒索病毒的正确操作:在事前阶段,电脑管家内置的文档守护者功能可以备份文档数据,一旦某些极端情况下发生意外,用户可以使用该功能进行文档还原;在事中阶段,电脑管家内置勒索病毒的行为拦截方案,在开启防御的情况下,即使是某些未知的勒索病毒,仍然可能防御成功;在事后破解阶段,电脑管家团队已破解该勒索病毒的加密机制,已经中招的用户,即使重装了系统或者因其他原因丢失密钥,也可直接下载使用破解工具,完全恢复加密文档。

解密恢复文件

  昨日,360安全大脑也发布了解密工具,可以帮助不幸中招的电脑用户解密被加密的文件。

  此外,瑞星安全专家唐威告诉记者,瑞星也已成功拦截该勒索病毒,升级到最新病毒库的瑞星杀毒软件个人和企业版都可以解密恢复文件。

  唐威提醒电脑用户,尤其是游戏玩家,不要轻信外挂或私服所声称的“杀毒软件误报论”,不要轻易把此类程序添加到信任列表中,要求退出杀毒软件的外挂,坚决不用;个人用户平时应当养成及时修复漏洞的好习惯,实时开启正规安全软件,可有效拦截病毒攻击;服务器管理者还应关注厂商安全更新,及时修复Web应用、数据库等各类应用平台的漏洞。

  支付宝:

  早有防范,尚无用户受影响

  昨天上午,支付宝安全中心发布长微博表示,已第一时间跟进勒索病毒事件,目前没有一例支付宝账户受到影响。针对此类风险,支付宝风控系统早有针对性防护,包括二次校验短信校验码、人脸识别等。即便密码泄露,也能最大程度地确保账户安全。

  据介绍,在智能风控的保护下,支付宝的资金损失率大约是千万分之五。即便出现小概率的账户被盗,支付宝也承诺会全额赔付。

  另据安全专家李铁军介绍,此次爆发的勒索病毒只限于电脑端,目前尚未发现可以导致手机中毒的变种。不过他提醒用户,技术上勒索病毒感染手机并不存在障碍,只不过目前由于攻击手机所需资源较多,此类攻击成功率不高。随着手机性能越来越强大,病毒攻击反而会变得越来越简单,因此不排除未来产生可以远程锁定手机文件的勒索病毒,特别是安卓手机用户,不要轻易点击不明链接,或者随意下载未经认证的应用。

标签: 病毒;勒索;支付宝;电脑;赎金 责任编辑: 金英磊
分享到:
版权和免责申明

凡注有"浙江在线"或电头为"浙江在线"的稿件,均为浙江在线独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线",并保留"浙江在线"的电头。

Copyright © 1999-2017 Zjol. All Rights Reserved 浙江在线版权所有