|
转载自蓝点网
火绒安全团队凌晨针对微信支付勒索软件发布跟踪分析报告,报告显示该勒索软件要远比想象中的更加恶毒。
表面上这款勒索软件会加密用户所有文件并提供微信收款码勒索赎金,目前该微信账号已经被腾讯封号处理。
火绒安全团队也已经针对此勒索软件分析后发布解密工具,用户可以利用解密工具直接解密所有被加密文件。
然鹅实际上除勒索外该恶意软件还附带多个模块用于窃取淘宝、支付宝、网易、百度云、QQ以及京东账号。
火绒工程师在破解黑客数据库服务器后发现至少留存数万条账号数据,且感染量和盗窃数据量还在持续增长。
火绒安全团队强烈建议已经被感染或者已经成功解密的用户立即修改账号密码,确保自己不会遭到二次攻击。
类似XcodeGhost般的供应链攻击:
2015年苹果官方应用商店出现大量应用程序携带后门,包括下载量超过千万甚至上亿的国内热门应用程序。
经过分析安全人士发现出现如此规模的攻击事件主要由于iOS开发者使用非官方版的XCode开发套件导致的。
开发者下载的开发套件被攻击者篡改并植入后门程序,最终这些后门程序随正规应用程序抵达用户的手机里。
微信支付勒索软件的供应链攻击:
火绒安全团队在追踪后发现感染源头来自知名易语言交流社区精易论坛,携带病毒的本身也并不是恶意软件。
攻击者在精易论坛的几位软件开发者发动攻击,最终感染这几位开发者电脑并篡改易语言开发模块进行投毒。
导致这几位开发者发布的易语言软件全部携带病毒,而开发者以及用户均在不知情的情况下遭到病毒的感染。
为什么选择易语言编程进行下手:
使用过易语言开发的应用程序的用户应该知道,易语言类软件早已已被多数安全软件报毒或者直接拦截等等。
易语言本身没有问题,但使用易语言开发病毒和恶意软件的人很多、导致安全软件直接对这类软件进行拦截。
基于上述情况使用易语言的用户基本都会关闭杀毒软件或者无视杀毒软件的报毒,这让病毒开发者有机可乘。
好歌伴你安睡
利用豆瓣和QQ空间图片进行掩护:
此勒索软件开发者除使用自己的服务器外还利用豆瓣网和QQ空间图片充当指令服务器防止被安全软件拦截。
通过发布在豆瓣网的加密内容进行解密然后执行命令,此时解密后的内容指向QQ空间图片然后再继续执行。
接下来再解密QQ空间图片携带的指令以及加载的模块展开攻击,攻击者可远程修改模块内容下发任意命令。
黑客至少已经获得数万条账号密码数据:
火绒工程师在追踪后找到其中一台病毒后台服务器,通过解密下发的指令火绒工程师成功登录攻击者服务器。
服务器上已经留存数万条淘宝和天猫等账号信息,随着此勒索软件的感染量增长数据收集也在随之提升当中。
这也是文章开头火绒工程师建议用户修改密码的原因,虽然文件可以解密但账号密码早已被黑客窃取并保存。
勒索、盗号与色情软件并存:
此勒索软件除勒索功能外至少包括盗号木马以及推广色情播放软件,盗号木马主要通过键盘记录器窃取数据。
勒索模块则是直接将用户的所有文件加密然后要求用户支付赎金,赎金金额为110元也具有明显的挑衅意味。
推广色情软件主要可能是在后台静默安装各类色情软件,当然这类色情软件通常都要用户进行付费充值会员。
对于用户们来说感染此病毒后文件被加密只是最初的步骤,而黑客实际目的要远远大于110元人民币的赎金。
感染量依然还在持续增长中:
火绒工程师攻破病毒制作者的服务器后也看到目前的感染量趋势,目前已有超过23000台电脑遭到病毒感染。
火绒安全团队提醒使用易语言模块的开发者尽快进行查杀,防止自己开发的软件还在给病毒的开发者做嫁衣。 |
-
|