证券时报官方微信公众号

扫描上方二维码关注微信公众号

证券时报官方新闻客户端

扫描上方二维码下载客户端

首页 新闻 深度报道
您所在的位置: 首页 > 新闻 > 深度报道

勒索病毒盯上微信支付!过万名用户被感染!病毒传播源是这些软件

2018-12-05来源:国际金融报作者:余继超

又见勒索病毒!这次竟用上了移动支付!

12月4日,信息安全公司“火绒安全实验室”发布消息称,12月1日爆发的“微信支付”勒索病毒正在快速传播,感染的电脑数量越来越多。

从索要比特币,到利用微信收款二维码收取勒索金,黑客竟也“与时俱进”起来。随着黑客通过移动支付工具进行勒索事件的曝光,再次敲响了移动支付安全性的警钟。

1、勒索病毒盯上移动支付

12月5日,《国际金融报》记者从腾讯方面了解到,12月1日,腾讯电脑管家接到网友求助,称其电脑感染一款使用手机扫码支付作为赎金支付渠道的勒索病毒。该病毒入侵成功后首先会锁定用户文件,然后弹出微信二维码,要求用户扫码支付110元赎金,获得解密钥匙。

▲ 勒索病毒勒索界面,图片来源:瑞星微信公众号

▲ 病毒作者微信收款二维码(已被冻结),图片来源:瑞星微信公众号

据火绒安全团队监测,截至12月3日,已有超两万用户感染该病毒,被感染电脑数量还在增长。病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,除了锁死受害者文件勒索赎金,还大肆偷窃用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。

而据腾讯电脑管家方面透露的数据,截至12月4日,目前全网中招用户已经过万。

腾讯电脑管家方面对《国际金融报》记者称,从多个用户机器提取和后台数据追溯看,该勒索病毒的传播源是一款叫 “账号操作 V3.1”的易语言软件,可以直接登录多个聊天帐号实现切换管理。值得注意的是,病毒传播者还利用更新海草多开版.exe、小印象邀请注册v1.0.vmp.exe、【v软】披萨头条多线程邀请、注册v1.0.vmp.exe、优优群优化1.5.vmp.exe、【海草公社】多线程阅读7.0.exe、更新海草_已激活.exe 等黑灰产工具,主要用来多账号登陆或刷量传播病毒。

腾讯电脑管家的监测显示,Unname1989勒索病毒还会感染易语言编译环境的静态库krnln_static.lib和第三方易语言库“精易模块”,在被感染的电脑上使用易语言开发工具开发其他应用软件时,会造成病毒扩散。

“不同于其他勒索病毒,此次勒索病毒没有修改文件后缀名。”腾讯电脑管家技术专家李铁军告诉《国际金融报》记者,“一经感染,该勒索病毒对用户电脑加密txt、office文档等有价值数据,并在桌面释放一个‘你的电脑文件已被加密,点此解密’的快捷方式后,弹出解密教程和收款二维码,最后强迫受害用户通过手机转帐缴付解密酬金。”

12月4日,腾讯回应称,该新型勒索病毒通过加密电脑上的doc、jpg等常用文件,然后利用微信支付二维码进行勒索赎金。微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信用户财产和账户安全不受任何威胁。

腾讯方面提醒广大用户,该勒索病毒可能通过任何形式的支付方式索要转账,若遭遇勒索,不要付款,及时报警。

火绒安全团队则建议被感染用户,除了杀毒和解密被锁死的文件外,请尽快修改上述平台密码。

支付宝也在12月4日表示,目前没有一例支付宝账户受到影响。针对此类风险,支付宝风控系统早有针对性防护,包括二次校验短信校验码、人脸识别等。即便密码泄露,也能最大程度确保账户安全。

但当记者问及如何预防移动支付成为“黑产”帮凶时,腾讯安全方面相关人士强调,“只是勒索者用二维码收款,这个事情和支付没有任何关系,现在很多媒体发布的信息带有一定的误导,让用户以为是微信支付的二维码是勒索病毒。”蚂蚁金服方面则表示,相关细节不方便透露。

2、背后的“黑色产业链”

伴随勒索病毒攻击方式进一步升级,勒索病毒在经历单打独斗的发展时期后,也已呈现出组织团伙化、产业链条化的特征。

腾讯御见威胁情报中心发现,一次完整的勒索病毒攻击流程涉及勒索病毒作者、勒索者、传播渠道商、代理、受害者5个角色,从业人员之间的分工十分明确。

具体来说,勒索病毒作者负责勒索病毒编写制作,对抗安全软件;勒索者定制专属病毒,并联系传播渠道商进行投放;代理向受害者假称自己能够解密各勒索病毒加密的文件,实则与勒索者合作,共同赚取受害者的赎金。

实际上,“勒索病毒”早在30多年前就已出现,相关勒索事件也屡见不鲜。勒索软件(英文:Ransomware)最早出现在1989年,当年哈佛大学毕业的Joseph L.Popp创建了第一个勒索软件病毒AIDS Trojan。

1996年,哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件,明确概述了勒索软件Ransomware的概念:利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。

2013年底,一种被称为CryptoLocker的病毒出现,并首次采用比特币作为勒索金,在病毒出现后的短短一个月内感染了上百万台电脑,并对每台电脑收取27美元的勒索金。

2017年10月,名为“BadRabbit(坏兔子)”的新型勒索病毒袭击欧洲各地,克兰国际机场和俄罗斯三家媒体先遭袭击,德国、土耳其、乌克兰、保加利亚之后也相继中招。

去年的“WannaCry”勒索病毒事件造成极大破坏,瑞星发布的勒索病毒分析报告中直言,WannaCry是年度破坏之王。直至今日,由于病毒变种不断出现,WannaCry依然在持续传播。

据腾讯御见威胁情报中心监控,WannaCry近期攻击行业分布以学校、传统工业、政府机构为主要目标群体,其中学校被攻击的比例更是占到35%。360公司对已爆发近17个月的WannaCry勒索病毒在国内的感染情况进行了统计,2018年第三季度每天仍有约6000至14000的感染量。

今年8月份,腾讯智慧安全御见威胁情报中心称,国内多家大型企业当日遭遇GlobeImposter勒索病毒攻击。黑客通过入侵企业内网利用RDP/SMB暴力破解在内网扩散,投放Globelmposter勒索病毒,导致系统破坏,影响正常工作秩序。

根据阿里云统计,阿里云平台在2018年第三季度共拦截约836亿次攻击,其中利用永恒之蓝漏洞进行攻击的数量占到近1/3。

根据联邦调查局(FBI)发布的《互联网犯罪报告》,2017年,勒索软件在北美造成了约234万美元的损失,2016年则为约243万美元,而 2015 年的损失为160万美元。

网络安全人士向《国际金融报》记者表示,相比于去年的“WannaCry”,此次勒索病毒被业内称为“小学生”级别的病毒,但它所攻击的对象是我们生活中必不可少的移动支付,因此移动支付安全应当引起重视。

李铁军也直言,由于病毒传播者往往会无视杀毒软件的拦截提示,该勒索病毒攻击特定人群,定向传播十分奏效。随着互联网技术快速发展,这几年勒索病毒的数量增长比较快,很多勒索病毒的水平不是很高,但社会影响深远。

3、敲响网络安全警钟

工信部最近公布的2018年第三季度网络安全威胁态势情况显示,公共互联网网络安全形势依然严峻,将开展移动恶意程序专项治理工作。

据工信部介绍,今年第三季度,用户数据泄露事件多有发生,涉及互联网、物流、酒店等多个行业企业,最高达上亿条信息记录,疑似是由于企业服务器或手持终端被植入恶意程序,以及内部安全管理机制不完善等问题导致。而随着“企业上云”流行,国内外多家云计算平台相继发生故障,出现大规模用户访问异常、用户数据丢失等问题,暴露出云计算平台在管理、运维、防护等方面仍存在诸多不足。

工信部称,下一步将组织各地通信管理局、电信运营商、互联网企业、域名机构等单位开展针对移动恶意程序的专项治理工作,及时发现和消除移动恶意程序等网络安全威胁。

对于此类网络黑产,微信方面表示,对任何形式的网络黑产犯罪“零容忍”,一直在持续打击网络黑产,实现了全链条精确打击。支付宝称,在智能风控的保护下,支付宝的资损率低至千万分之五。即便出现小概率的账户被盗,支付宝也承诺会全额赔付。

李铁军介绍,经紧急处置,目前腾讯电脑管家已完成病毒破解,并连夜发布本地解密工具测试版,同时结合腾讯电脑管家内置的勒索病毒行为拦截功能、文档守护者功能。腾讯电脑管家现已推出三重安全防御体系,做到事前备份、事中拦截、事后破解,最大限度帮助已中招的网友查杀病毒并修复被加密破坏的文件。

李铁军指出,电脑管家内置的文档守护者功能利用磁盘冗余空间备份文档数据,一旦某些极端情况下发生意外,用户可以使用管家工具箱中文档守护者进行文档还原。

此外,李铁军表示,电脑管家内置勒索病毒的行为拦截方案,在开启防御的情况下,即使是某些未知的勒索病毒,仍然可能防御成功。电脑管家团队已破解该勒索病毒的加密机制,对于已经中招的用户,可直接下载使用破解工具进行解密文档。

中国支付网创始人刘刚表示,新出台的《电商法》明确规定,“电子支付服务提供者提供电子支付服务不符合国家有关支付安全管理要求,造成用户损失的,应当承担赔偿责任。”

刘刚指出,支付黑产在全民移动支付时代会愈演愈烈,由于移动互联网的普及,相比以往会更容易侵害到老百姓账户里的财产。特别是很多账号密码都与支付有了关联,因此,网民要比以前更加重视各种账户的安全防范,防止被黑产“拖库”、“撞库”盗刷了资金,不能随意透露自己的付款码、身份证号等重要信息。

见习记者 余继超

分享:

声明:证券时报力求信息真实、准确,文章提及内容仅供参考,不构成实质性投资建议,据此操作风险自担。

为你推荐

央行时隔36个工作日重启逆回购!美联储议息会前一天深意多
时隔36个工作日之后,今天中国央行重启逆回购操作,开展1600亿元7天期逆回购操作,结束最长连停纪录,当日实现净投放1600亿元。
2018-12-1711:24
连续12板!这只股开板后半小时再封涨停!又有过亿资金杀入
ST慧球在11个涨停后,12月17日开盘后快速开板,接近上午10时再度封板。
2018-12-1714:10
大规模解禁潮再度来袭,6股解禁市值超20亿元
数据宝统计显示,下周面临解禁个股共44只,以最新收盘价计算,合计解禁市值达587亿元。
2018-12-1708:13
基金年终排名战七年来最惨:主动股基"一哥"竟是零收益!
主动股票基金冠军都有较为可观的正收益,但今年仅剩10个交易日,主动股基领头羊收益还是零,偏股基金大面积亏损。
2018-12-1710:03
  • 证券时报APP
  • 微信公众号
  • 点击下载