网维中国致力于打造中国网维技术专业社区,以网维大师、易乐游、云更新、管家婆等等软件为网吧和企业、单位用户提供专业的计算机和系统相关问题咨询和讨论的专业社区,提供网吧和企事业单位一体化解决方案,网维专业应用软件和相关教程以及网维行业最新动态.用专业的技术和无私的分享精神服务于所有网维技术人员!
设为首页收藏本站

网维技术网

 找回密码
 帐号注册

QQ登录

只需一步,快速开始

搜索
  • 630查看
  • 2回复
[未点亮至尊红钻]发帖数量不足10篇 [未点亮至尊黄钻]威望不足10点 [未点亮至尊蓝钻]在线时间不足10小时 [未点亮至尊绿钻]贡献度不足10点 [未点亮至尊紫钻]金币不足100个 [未点亮至尊粉钻]精华贴数不足10贴 [未点亮至尊黑钻]活跃不足8个

 级别: 管理员
 UID:  1   [未点亮普号显示]钻石不足3个
 积 分: 22906
 威 望:
 贡 献:
 活 跃:
 发 贴: ()
 金 币:  
性 别: I'm 火星人!
阅读权限: 200
在线时长:  小时
注册时间: 2011-8-8
最后登录: 1970-1-1
发表于 2018-12-7 09:23:28 |显示全部楼层





前几天,公司的小伙伴们突然都去下载了联通手机营业厅,仔细一问,原来是联通公司突然搞了一波年底福利,只要大家互相分享联通给的助力码,就能薅一波小羊毛~



只要邀请 7 个人,就可以拿到 20 块钱京东 E 卡,还能拿到惊喜平安夜的必中奖品,不限制运营商,管你是移动电信,甚至连固话都行,门槛低的发指。。



俗话说的好,哪里有福利,哪里就有羊毛党~


果不其然,在联通发布活动的当天,就有人抓住联通不验证手机号有效性的漏洞( 现在已开始验证手机 ),做出外挂程序,想刷多少助力就刷多少。。



结果,羊毛党下载下来软件,羊毛还没有薅到,却反过来挨了一刀!


套路好像是去年 WannaCry 的翻版,一样的锁定文件加密,一样的敲诈勒索,过了一定时间不给钱就撕票。只不过,付款方式发生了变化 —— WannaCry 用的是勒索比特币,而这个是 110 块的微信支付。。。


沙盒中运行的病毒




一开始这个病毒流行起来的名字叫做 “ 微信勒索病毒 ”,其实只是勒索的付款方式是微信而已,并不是微信被病毒感染了。。




不知道是比特币最近掉价掉的太狠了,还是小伙子没加密钱包,他放弃了一名专业黑客的流行反侦察手段——加密货币。。


按理说都能制作病毒了,结果勒索用的是实名制的微信/支付宝?!这操作差评君实在不懂。。。反正,微信一接到群众的举报,立马就把二维码封了。


事实证明,这个病毒制作者可能还真的是个半吊子。。国内安全软件火绒,在这个病毒爆发的当晚 11 点半就发布了病毒分析结果,又仅过了 7 个小时就发布了破解病毒的工具,360 安全也在同一时间发布了解密工具。



根据安全大佬们的分析,这个病毒很早就有了,只不过每天就感染那么几台,一直没有引起大家的注意。。


直到这个病毒制作者想到了一个骚操作。。


他上个月 15 号在一个专门学习易语言的网站 “ 精易论坛 ” 上分享了一个软件~( 易语言是唯一以汉字作为程序代码的编程语言 )


该资源已被管理员封禁




喜欢鼓捣各种小玩意儿的程序员们把它下载到电脑上,病毒便悄悄的开始工作。



病毒一方面不断把宿主电脑上的资料传回到病毒制作人那里,另一方面搜寻电脑上是否有易语言编程环境,如果有的话,病毒会立马感染易语言的核心静态库和精易模块( 一种让易语言编程更傻瓜化的编程模块 )这样整个编程环境编译出来的程序都会带有病毒。


精易模块被插入的恶意代码




而且易语言因为本身的语言特性,很容易被杀毒软件误报杀毒,所以大部分开发易语言的程序员不会装杀毒软件,他们被病毒感染了很难被发现。


虽然大部分学过编程的人都不怎么了解易语言,因为没有几个公司用它,但是在国内的外挂领域,易语言却很流行


文章一开始出现的联通薅羊毛外挂就是通过感染了病毒的易语言环境制作出来的,以羊毛大军的庞大程度,感染病毒的电脑哗哗地涨,挡都挡不住。。



可能是病毒制作者太 Naive,总想搞个大新闻。。看到感染病毒的电脑暴增,光偷数据显得没啥用,歪脑筋一动,决定学前辈 WannaCry 搞点零花钱。


结果技术不精,加密弱鸡、支付方式天真,分分钟就被安全大厂们摁到地上摩擦。。


而且火绒团队顺着病毒里的信息,通过多种线索印证,确定了病毒制作者的 github 网址和详细地不能再详细的个人信息。。




没想到,这位病毒制作者罗同学居然还是个 95 后。。


顺藤摸瓜,火绒团队还破解了他名下 2 台服务器后台,在里面,详细记录了病毒爬来的数据,因为病毒内嵌了盗号木马,所以感染病毒的电脑上天猫、支付宝、微信等各类账户密码都会被盗。


除此之外,它还记录了宿主电脑的详细硬件信息,难道是想搞大数据分析,按条件割韭菜?


病毒回传的数据种类




因为灰产软件在相关开发人员之间的流通性很高,又是供应链污染的传播方式,所以潜在被感染的用户很多。而且,病毒作者是通过 “ 云控 ” 的方式决定是否勒索,也就是没有出现微信勒索也不代表没有中病毒。。


所以,如果你曾经下载过下面这些或是类似的软件的话,最好用杀软杀一遍才比较稳妥~



差评君在看病毒制作者的 Github 时,发现有十几个人已经 fork 了该病毒二进制组件,所以不能排除有人想对病毒二次传播的可能性。。


至此,国产勒索病毒事件告一段落了,国内安全团队也把查到的相关资料交给了警方。



今天晚上,差评君又瞟了一眼罗同学的 Github,发现他在今天下午五点把文件中与病毒相关的文件内容都改成了下面这句话:


估计他自己知道天网恢恢




可惜,这一次你恐怕不能轻轻的走了。






图片来源:
特别感谢:火绒安全团队
差评
雷锋网
360安全
参考资料:
火绒安全实验室,《“微信支付”勒索病毒愈演愈烈 边勒索边窃取支付宝密码》
火绒安全实验室,《“微信支付”勒索病毒制造者被锁定 传播、危害和疫情终极解密》
360黑板报,《沸沸扬扬的“微信支付勒索病毒”,始作俑者竟然是个95后!》
雷锋网,《国产勒索病毒竟然扫码要赎金?360首家支持破解》






“ 现在做病毒的门槛也忒低了。。 ”

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?帐号注册

x
[未点亮至尊红钻]发帖数量不足10篇 [未点亮至尊黄钻]威望不足10点 [未点亮至尊蓝钻]在线时间不足10小时 [未点亮至尊绿钻]贡献度不足10点 [未点亮至尊紫钻]金币不足100个 [未点亮至尊粉钻]精华贴数不足10贴 [未点亮至尊黑钻]活跃不足8个

 级别: 等待验证会员
 UID:  4860   [未点亮普号显示]钻石不足3个
 积 分: 0
 威 望:
 贡 献:
 活 跃:
 发 贴: ()
 金 币:  
性 别: I'm 火星人!
阅读权限: 0
在线时长:  小时
注册时间: 2012-10-12
最后登录: 1970-1-1
发表于 2018-12-7 13:12:25 |显示全部楼层
前排支持下分享

使用道具 举报

[未点亮至尊红钻]发帖数量不足10篇 [未点亮至尊黄钻]威望不足10点 [未点亮至尊蓝钻]在线时间不足10小时 [未点亮至尊绿钻]贡献度不足10点 [未点亮至尊紫钻]金币不足100个 [未点亮至尊粉钻]精华贴数不足10贴 [未点亮至尊黑钻]活跃不足8个

 级别: 游客
 UID:  4409   [未点亮普号显示]钻石不足3个
 积 分: 0
 威 望:
 贡 献:
 活 跃:
 发 贴: ()
 金 币:  
性 别: I'm 火星人!
阅读权限: 1
在线时长:  小时
注册时间: 2012-10-1
最后登录: 1970-1-1
发表于 2018-12-7 16:53:19 |显示全部楼层
好好 学习了 确实不错

使用道具 举报

快速发帖

您需要登录后才可以回帖 登录 | 帐号注册

本版积分规则

Archiver |手机版 | 浙ICP备15027915号-2

© 2011-2020 网维中国(浙公网安备33011002013298号 ) GMT+8, 2018-12-16 23:18 , Processed in 0.606536 second(s), 26 queries . Powered by 鑫晟科技 X3.4  

禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.如遇版权问题,请及时联系点击这里给我发消息

今天是: | 本站已经安全运行: //

低部图片

快速回复 返回顶部 返回列表