勒索病毒盯上二维码支付 近两万人中招

作者:陈鹏 白金蕾 来源:新京报
2018-12-05 09:32:42

12月4日,信息安全公司火绒在“火绒安全实验室”公众号发布消息称,12月1日爆发的“微信支付”勒索病毒正在快速传播,感染的电脑数量越来越多。腾讯方面4日回应称,微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结,目前腾讯电脑管家已完成病毒破解。支付宝方面表示,有针对性的防护,目前未收到账户受影响的用户反馈。

腾讯电脑管家技术专家李铁军介绍称,目前上述病毒的全网“中毒”用户近两万人,支付的赎金额为110元/人,尚不清楚病毒作者具体获得的总赎金金额,但由于安全厂商的解密方案是免费的,作者获得的总体赎金应该不高。

全网“中毒”用户近两万人

据腾讯方面介绍,他们从12月1日开始接到用户的“中毒”反馈。这种勒索病毒感染系统后,会加密txt、office文档等有价值数据,并在桌面释放一个“你的电脑文件已被加密,点此解密”的快捷方式。点击后弹出解密教程和收款二维码,强迫受害用户通过手机转账缴付解密酬金。

“这款名为Bcrypt的病毒首先攻击的是软件开发者的电脑,导致开发者使用某工具编程的软件均带毒。用户下载这些‘带毒’软件后电脑就会被感染。病毒能获取键盘记录,这样当用户在各种平台上输入账号、密码时,便会泄露给病毒作者。”支付宝方面在12月4日介绍了该病毒的传播方式。

腾讯电脑管家技术专家李铁军进一步介绍称,上述勒索病毒的传播源是一款叫“账号操作V3.1”的易语言软件(病毒传播者还利用了其他一些类似的黑灰产工具),其声称的主要功能是可以登录多个聊天账户切换管理。该工具为灰色产业开发人群使用的工具,这部分人群使用的工具有许多会被杀毒软件查杀,他们常常会无视杀毒软件的拦截提示。因而,这个勒索病毒针对灰产从业者的定向传播十分奏效。

“火绒安全实验室”在12月1日发布的微信文章中写到,通过勒索病毒的界面信息都是中文可以推测,病毒或为国人制作,并使用不匿名的微信收取赎金,行为十分猖獗。

李铁军向记者表示,目前,上述病毒的全网“中毒”用户近两万人,支付的赎金额为110元/人,尚不清楚病毒作者具体获得的总赎金金额,但由于安全厂商的解密方案是免费的,作者获得的总体赎金应该不高。

微信封禁账户,支付宝称未收用户反馈

上述勒索病毒的扩散逐渐引起关注,微信和支付宝也在昨日披露了相关情况和举措。

腾讯方面介绍称,微信已在第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。“微信对任何形式的网络黑产犯罪‘零容忍’,我们一直在持续打击网络黑产,实现了全链条精确打击。微信会通过后台风控策略对高风险交易场景进行提醒和确认,以保护好用户支付和财产安全。”

“我们也提醒广大用户,该勒索病毒可能通过任何形式的支付方式索要转账,若遭遇勒索,不要付款,及时报警。同时,腾讯电脑管家提供解密工具和人工服务,协助用户处理相关情况。”腾讯方面表示。

支付宝是否也受到该勒索病毒的波及?昨日,支付宝安全团队在相关情况介绍中称,目前未收到支付宝账户受影响的用户反馈。“针对此类风险,支付宝风控系统早有针对性的防护,包括二次校验短信校验码、人脸识别等。即便泄露密码,也能最大程度确保账户安全”。

腾讯方面向记者透露,目前腾讯电脑管家已完成病毒破解,并连夜发布本地解密工具测试版,同时结合腾讯电脑管家内置的勒索病毒行为拦截功能、文档守护者功能。腾讯电脑管家现已推出三重安全防御体系,做到事前备份、事中拦截、事后破解,最大限度帮助已中招的网友查杀病毒并修复被加密破坏的文件。腾讯电脑管家还为未安装电脑管家的“中毒”用户,提供了解密工具。

■ 分析

互联网勒索病毒攻击特定人群,水平不高但影响大

在此次勒索病毒Bcrypt出现之前,比特币勒索病毒“WannaCry”也曾引起广泛的关注。2017年5月12日晚间,全球近100个国家的微软系统计算机同时遭到名为WannaCry(想哭吗)或Wanna Decryptor(想解锁吗)的电脑病毒袭击。想要被感染病毒的计算机解除锁定,只能向对方支付所要求的比特币,否则硬盘将被彻底清空。该勒索病毒的前身,是之前泄露的NSA黑客武器库中的“永恒之蓝”攻击程序。

火绒安全实验室曾表示,Bcrypt病毒为新型勒索病毒,入侵电脑运行后,会加密用户文件,但不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这也是国内首次出现要求微信支付赎金的勒索病毒。

“互联网领域,这几年勒索病毒的数量增长比较快,很多勒索病毒的水平不是很高,但是影响会比较大”,李铁军对新京报记者称。但他表示,病毒攻击特定人群,应该不会大规模扩散,这个病毒没有自扩散能力。(记者陈鹏白金蕾)