当前位置 主页 > 行业资讯 >

黑客再出新花样 “薅羊毛也薅出勒索病毒!

栏目:行业资讯 时间:2018-12-07 09:37



  前几天,公司的小伙伴们突然都去下载了联通手机营业厅,仔细一问,原来是联通公司突然搞了一波年底福利,只要大家互相分享联通给的助力码,就能薅一波小羊毛~
 

  只要邀请7个人,就可以拿到20块钱京东E卡,还能拿到惊喜平安夜的必中奖品,不限制运营商,管你是移动电信,甚至连固话都行,门槛低的发指。。
 
  俗话说的好,哪里有福利,哪里就有羊毛党~
 
  果不其然,在联通发布活动的当天,就有人抓住联通不验证手机号有效性的漏洞(现在已开始验证手机),做出外挂程序,想刷多少助力就刷多少。。
 

  结果,羊毛党下载下来软件,羊毛还没有薅到,却反过来挨了一刀!
 
  套路好像是去年WannaCry的翻版,一样的锁定文件加密,一样的敲诈勒索,过了一定时间不给钱就撕票。只不过,付款方式发生了变化——WannaCry用的是勒索比特币,而这个是110块的微信支付。。。
 
  沙盒中运行的病毒
 

  一开始这个病毒流行起来的名字叫做“微信勒索病毒”,其实只是勒索的付款方式是微信而已,并不是微信被病毒感染了。。


 
  不知道是比特币最近掉价掉的太狠了,还是小伙子没加密钱包,他放弃了一名专业黑客的流行反侦察手段——加密货币。。
 
  按理说都能制作病毒了,结果勒索用的是实名制的微信/支付宝?!这操作差评君实在不懂。。。反正,微信一接到群众的举报,立马就把二维码封了。
 
  事实证明,这个病毒制作者可能还真的是个半吊子。。国内安全软件火绒,在这个病毒爆发的当晚11点半就发布了病毒分析结果,又仅过了7个小时就发布了破解病毒的工具,360安全也在同一时间发布了解密工具。
 

  根据安全大佬们的分析,这个病毒很早就有了,只不过每天就感染那么几台,一直没有引起大家的注意。。
 
  直到这个病毒制作者想到了一个骚操作。。
 
  他上个月15号在一个专门学习易语言的网站“精易论坛”上分享了一个软件~(易语言是唯一以汉字作为程序代码的编程语言)
 
  该资源已被管理员封禁
 
  喜欢鼓捣各种小玩意儿的程序员们把它下载到电脑上,病毒便悄悄的开始工作。
 
  病毒一方面不断把宿主电脑上的资料传回到病毒制作人那里,另一方面搜寻电脑上是否有易语言编程环境,如果有的话,病毒会立马感染易语言的核心静态库和精易模块(一种让易语言编程更傻瓜化的编程模块),这样整个编程环境编译出来的程序都会带有病毒。
 
  精易模块被插入的恶意代码
 

  而且易语言因为本身的语言特性,很容易被杀毒软件误报杀毒,所以大部分开发易语言的程序员不会装杀毒软件,他们被病毒感染了很难被发现。
 
  虽然大部分学过编程的人都不怎么了解易语言,因为没有几个公司用它,但是在国内的外挂领域,易语言却很流行。
 
  文章一开始出现的联通薅羊毛外挂就是通过感染了病毒的易语言环境制作出来的,以羊毛大军的庞大程度,感染病毒的电脑哗哗地涨,挡都挡不住。。
 

  可能是病毒制作者太Naive,总想搞个大新闻。。看到感染病毒的电脑暴增,光偷数据显得没啥用,歪脑筋一动,决定学前辈WannaCry搞点零花钱。
 
  结果技术不精,加密弱鸡、支付方式天真,分分钟就被安全大厂们摁到地上摩擦。。
 
  而且火绒团队顺着病毒里的信息,通过多种线索印证,确定了病毒制作者的github网址和详细地不能再详细的个人信息。。
 

  没想到,这位病毒制作者罗同学居然还是个95后。。
 
  顺藤摸瓜,火绒团队还破解了他名下2台服务器后台,在里面,详细记录了病毒爬来的数据,因为病毒内嵌了盗号木马,所以感染病毒的电脑上天猫、支付宝、微信等各类账户密码都会被盗。
 
  除此之外,它还记录了宿主电脑的详细硬件信息,难道是想搞大数据分析,按条件割韭菜?
 
  病毒回传的数据种类
 

  因为灰产软件在相关开发人员之间的流通性很高,又是供应链污染的传播方式,所以潜在被感染的用户很多。而且,病毒作者是通过“云控”的方式决定是否勒索,也就是没有出现微信勒索也不代表没有中病毒。。
 
  所以,如果你曾经下载过下面这些或是类似的软件的话,最好用杀软杀一遍才比较稳妥~
 

  差评君在看病毒制作者的Github时,发现有十几个人已经fork了该病毒二进制组件,所以不能排除有人想对病毒二次传播的可能性。。
 
  至此,国产勒索病毒事件告一段落了,国内安全团队也把查到的相关资料交给了警方。
 
  今天晚上,差评君又瞟了一眼罗同学的Github,发现他在今天下午五点把文件中与病毒相关的文件内容都改成了下面这句话:
 
  估计他自己知道天网恢恢
 
  可惜,这一次你恐怕不能轻轻的走了。
 
  图片来源:
 
  特别感谢:火绒安全团队
 
  差评
 
  雷锋网
 
  360安全
 
  参考资料:
 
  火绒安全实验室,《“微信支付”勒索病毒愈演愈烈边勒索边窃取支付宝密码》
 
  火绒安全实验室,《“微信支付”勒索病毒制造者被锁定传播、危害和疫情终极解密》
 
  360黑板报,《沸沸扬扬的“微信支付勒索病毒”,始作俑者竟然是个95后!》
 
  雷锋网,《国产勒索病毒竟然扫码要赎金?360首家支持破解》
 
  “现在做病毒的门槛也忒低了。。”



原文链接:https://new.qq.com/omn/20181207/20181207A019T3.html
相关推荐:
快雀蜘蛛池 涉及30余省市黑产链被端,黑客只有初中文化 智能玩具数据库也被黑客盯上 当心孩子隐私遭泄露 黑客攻击事件频发 区块链App如何谈安全? 谷歌再出现新bug 运行将导致CPU占用率飙升至100% NASA服务器遭黑客攻击 12以来数据库信息遭泄露 黑客犯罪频发 已成涉网犯罪核心、“链条化” 某男子自称“黑客教父”因非法利用信息网络牟利终被捕获 外媒报道称闲散黑客靠寻找漏洞最高年赚50万美金 黑客利用火狐‘11岁’漏洞进行网络诈骗 Linux系统官网被攻击,遭黑客留“菊花”讽刺 万豪集团遭黑客“薅羊毛”长达5年 ,盗取5亿用户后黑市销赃 天津社保主体公司官网遭黑客攻击,打开竟是不良网站 日活艰难 DAPP遭黑客肆虐 未来将如何? 中国的增长黑客,距离美国还有多少路要走? 加强网络安全建设 重庆渝中进行模拟应对黑客盗取数据演练 国外问答网站Quora遭黑客攻击 高达1亿用户信息泄露 德美高官同日收到黑客攻击 外媒:或与俄罗斯有关? 黑客攻击不再以广撒网形式,企业将面临更多网络威胁 ================================== ==================================================================== 网站被劫持检测、网站监控 站群批量SEO查询 六大搜索引擎 模拟蜘蛛 批量替换工具 - 多行批量替换 服务器专用下载工具 iis日志分析工具 批量PING,服务器批量添加网卡IP小工具 远程同步备份工具 整站下载工具 批量远程桌面连接工具 iis网站批量管理
缩小 缩小 缩小 缩小
IIS7整站下载工具 IIS7批量查询排名 IIS7远程桌面连接工具 iis7-iis网站批量管理 iis7批量替换工具 IIS7服务器专用下载工具 IIS7日志分析工具 IIS7批量PING,服务器批量添加网卡IP小工具 IIS7远程同步备份工具
IIS7网站监控 站群批量SEO查询 批量获取排名域名 批量关键词排名查询 模拟各种蜘蛛 批量友情链接监测 批量检测死链 搜索引擎大全 批量查询外链
批量查询网站标题 批量查询KeyWords 批量查询描述 批量查询网站IP 批量百度收录查询 批量查询百度日收录 批量查询百度周收录 批量查询百度月收录 批量查询360总收录 批量查询360日收录 批量查询网站年龄 批量查询360PC权重 批量查询爱站移动权重 批量查询站长移动权重 批量查询360移动权重 批量查询神马权重 批量查询谷歌PR 批量查询搜狗PR 批量查询百度反链 批量查询爱站首页反链 批量查询爱站内页反链 批量查询百度快照 批量查询搜狗快照 批量icp备案查询 批量网站ip地址查询 批量查询导出链接 批量查询百度V认证 批量查询百度安全 批量查询站长PC权重 批量查询爱站PC权重 批量查询搜狗总收录 站长资源大全 IIS7-cms大全 IIS7站群大全 IIS7虚拟空间大全 IIS7服务器大全 IIS7-VPS大全 服务器代购 站群专用 美国站群服务器 香港站群服务器 特供站群vps 亚洲服务器 菲律宾HS 韩国首尔 香港PCCW 香港沙田电信 香港PowerLine 日本多机房 新加坡多机房 韩国大带宽 香港新世界 香港Pangnet 台湾 美国服务器 加州RS 美国vps母鸡租用 洛杉矶MC 洛杉矶C3 特价促销区 洛杉矶NS 洛杉矶Cera高防 洛杉矶HS高防 SK高防 洛杉矶WX 加州RH 芝加哥AT VPS云主机 香港沙田电信 韩国首尔 香港Pangnet 新加坡SG 香港PL 洛杉矶SK 抗攻击 洛杉矶C3 日本大阪 洛杉矶Cera 抗攻击 洛杉矶MC 纽约 SSD 抗攻击 大容量备份VPS 国庆大促 俄罗斯