微信支付“勒索病毒”制作者抓到了!揭秘22岁嫌疑人作案过程

智能高科
 原创  12-08 16:07

受害者需扫描弹出的微信支付二维码,给对方转账110元赎金,才能获得解密钥匙。

除加密受害者文件勒索赎金外,据火绒安全团队介绍,这款病毒还会偷窃用户的各类账号,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。网络安全专家提醒,被感染的用户尽快修改上述平台密码。

有网络安全公司统计,截至4日晚,至少有10万台电脑遭到感染。360互联网安全中心安全研究员王亮表示,12月4日,该勒索病毒的控制指令关闭之后,感染计算机数量没有进一步增加了,但是已感染的计算机还有不少没有查杀病毒,并且感染源也仍然存在。

勒索病毒通过微信二维码支付

在国内尚属首次

尽管此次勒索病毒来势汹汹,但目前国内已有多家网络安全公司表示,已完成病毒破解,连夜发布了相关工具,可最大限度帮助已中招的网友查杀病毒,并修复被加密破坏的文件。

此外,记者从腾讯方面了解到,涉及勒索收款的账户已于12月2日晚已被列入异常名单遭到封禁、收款二维码予以紧急冻结。“微信支付用户财产和账户安全不受任何威胁,”腾讯相关负责人告诉南都记者,勒索者是用二维码收款,而非微信支付出现漏洞。

与此前席卷全球的“WannaCry”,勒索者通过比特币收取赎金不同,此次勒索病毒是通过微信二维码支付,在国内尚属首次。

腾讯电脑管家技术专家李铁军告诉记者,从多个用户机器提取和后台数据数据追溯看,该勒索病毒的传播源是一款叫 “账号操作 V3.1”的易语言软件,可以直接登录多个聊天帐号实现切换管理。

“易语言”是软件开发者用以编程的一个模块,一旦软件携带了该勒索病毒,那么经用户下载后,用户的电脑就会中招。火绒安全团队发布的一篇解析文章指出,病毒制作者将豆瓣等平台当作下发指令的C&C服务器,该团队通过解密下发的指令发现,已有数万条涉及多个平台的账号信息被病毒作者秘密收取。

12月4日,支付宝安全团队回应此事,该勒索病毒仅出现在PC端,被感染的电脑会记录键盘行为,获取用户在给类平台输入的密码信息,建议用户及时安装安全软件查杀病毒。

3.1.jpg

支付宝安全中心微博回应。

支付宝方面表示,目前尚未收到支付宝账户受影响的用户反馈。即使密码泄露,也能最大程度确保账户安全。因为该公司的风控系统有针对性防护措施,包括二次校验短信校验码、人脸识别等。如果出现小概率事件的账户被盗,用户也会得到全额赔付。

如何防范?

国家互联网应急中心提醒广大用户及时采取如下措施进行防范:

1、安装并及时更新杀毒软件,目前市场主流反病毒软件都已支持针对该勒索病毒的防护与查杀。

2、不要轻易打开来源不明的软件,该勒索病毒通过易语言编写的程序传播,减少使用来源不明的软件可有效预防。

3、如已经感染勒索病毒,可使用相关解密工具尝试解密。目前,许多公司已经针对该勒索病毒开发了解密工具,包括火绒Bcrypt专用解密工具、腾讯电脑管家“文档守护者”、360安全卫士“360解密大师”等。(解密工具链接附后)

4、已感染勒索病毒的用户,在清除病毒后,尽快修改淘宝、天猫、支付宝、QQ等敏感平台的密码。

5、定期在不同的存储介质上备份计算机中的重要文件。

附:解密工具

https://www.huorong.cn/info/1543706624172.html(火绒Bcrypt专用解密工具)

https://guanjia.qq.com/news/n3/2444.html(腾讯电脑管家“文档守护者”)

http://www.360.cn/n/10496.html(360安全卫士“360解密大师”)

花几小时找到勒索病毒作者

正在打LOL

360互联网安全中心安全研究员王亮告诉记者,勒索病毒作者在病毒代码里面留下了一些能关联到身份的信息,比如病毒中内嵌的GitHub的链接中有他的QQ号码,使用的SQL服务器登录口令也包含了作者的姓名简写和生日等。

3.2.jpg

“再结合网络留下的信息能够相互印证,也就定位到了具体的作者。整个过程并不复杂,几个小时就完成了。”据王亮介绍,在掌握这些线索之后,他们已经将相关信息提交给警方和主管部门了。

记者了解,目前勒索病毒作者姓名、电话号码、邮箱、百度云账号、生日等信息均可知。4日晚,微博网友“雕哥创始人”晒出的两张与勒索病毒作者的聊天截图显示,对于别人知道他真名和QQ号,今年22岁的罗某表示意外,并称“打LOL中,再见。”

3.3.jpg

图自微博网友“雕哥创始人”。

22岁犯罪嫌疑人已被刑拘

12月6日晚间,平安东莞官方微博发布通报称,日前备受关注的新型勒索病毒案告破,犯罪嫌疑人罗某今年22岁,广东茂名人。对于制作新型勒索病毒一事,罗某表示供认不讳。

3.4.jpg

据警方通报,东莞网警支队获悉省厅网警总队下发的线索后,于12月4日22时确定罗某某的真实身份,并在12月5日15时将其抓获。至此,该案在24小时内火速侦破,抓获病毒研发制作者1名,缴获木马程序和作案工具一批。

经审讯,嫌疑人罗某供述今年6月,他自主研发出病毒“cheat”,用于盗取他人支付宝账号密码,进而以转账方式盗取资金。同时,他制作内含“cheat”木马病毒代码的某开发软件模块,在互联网上发布,致使全网超过10万台计算机被感染。过程中,他因此非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条,

据悉,嫌疑人罗某已被警方依法刑事拘留,案件正在进一步审理中。

北京市京师律师事务所律师王琮玮告诉记者,制作和传播病毒行为涉嫌非法提供侵入和控制计算机信息系统罪、非法获取计算机信息系统罪、破坏计算机信息系统罪等。

根据刑法第286条规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

来源:长沙晚报掌上长

513
10.0万

热门推荐