火绒团队锁定"微信支付"勒索病毒制造者

编辑: kunyi

时间: 2018-12-05

分类: 业界资讯

        12月1日,首个要求"微信支付"赎金的勒索病毒在国内爆发,根据"火绒威胁情报系统"监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。

根据火绒团队的分析、溯源,该病毒使用"供应链污染"的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的"易语言"编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。

 

图:部分被感染软件
 

火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。

 

图:被盗取的登录信息数据统计信息
 

此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件。
 

经过进一步分析,火绒团队发现所有相关信息都指向同一主体--姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。
 

12月1日该病毒爆发后,"火绒安全软件"当天升级查杀,火绒团队连夜制作了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。广大用户无需担心,使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系火绒团队尝试解密。

 



火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。
 

附详细分析报告
 

数据分析
 

火绒前期报告中写道,Bcrypt勒索病毒通过供应链污染的方式正在进行大范围传播,病毒会借助被感染的易语言编译环境为跳板,之后病毒会通过从被感染环境编译出的易语言程序在互联网中大范围扩散。通过火绒近期对感染数据的追踪,我们整理出了大量受影响的易语言程序。此类受影响的易语言程序众多,其中还包含有一些易语言程序下载平台(如:万软平台、赚客吧等)。易语言开发人员开发环境被感染后,编译出带毒的易语言程序,再上传到各大程序下载平台上供用户下载,从而使病毒在更广的范围内进行传播,请使用过类似易语言程序的用户及易语言相关开发人员下载火绒安全软件进行自查。受影响最多的易语言程序,如下图所示:

 


受影响的易语言程序
 

上述带毒的易语言软件都会成为病毒作者通过C&C网址链接操控的下载器病毒,从而下载执行其他恶意代码。被下载的恶意程序多为"白加黑"恶意病毒,前期报告中仅对感染量较大的libcef.dll病毒模块进行了分析,但此类病毒模块名种类其实还有很多。经过火绒的分析整理,可以直观显示病毒利用不同模块名执行恶意行为的相关情况。由于很多病毒文件名不具有实际意义,统计时以pdb名称为准,如:AutoinitApp_x64.pdb.dll。此类病毒模块名,如下图所示:

 


病毒模块名列表
 

各个病毒模块名所占感染终端数量占比,如下图所示:

 


各个病毒模块名所占感染终端数量占比图
 

上述病毒模块包含有多种不同的病毒恶意行为,如:勒索加密、盗取用户账户登录信息等。通过火绒对病毒服务器数据进行分析整理,病毒作者会收集以下几类信息,且每类信息与终端ID一一对应:
 

1.终端ID
 

2.系统版本信息、当前系统登录用户名、系统登录时间
 

3.CPU型号
 

4.屏幕分辨率
 

5.IP及所属运营商信息
 

6.软件安装信息
 

7.安全软件进程信息
 

8.网购账户登录信息、邮箱登录信息、QQ号登录信息、网盘登录信息等
 

截至目前,病毒作者共盗取登录信息共计22442条。相关数据统计分析后,如下图所示:

 



被盗取得登录信息数据统计信息
 

溯源分析
 

根据前期报告中写道,病毒代码中的github链接(hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt),我们找到了病毒作者的github主页(hxxps://github.com/qq*6/ja*et),从中发现了病毒作者的提交记录。如下图所示:

 


病毒作者提交信息
 

在提交记录中,我们切换到"d1889a4a0ceb7554982d7a924ecebe23200da94"提交记录中,我们发现在本次提交中有一个名为"new 1 - 副本.txt"的BMP图片文件。图片内容,如下图所示:

 


图片文件内容
 

如上图红框内代码,此时疑似病毒作者正在调试屏幕截取相关病毒功能。在任务栏中红框所示项目,我们可以看到病毒相关的一些工程正在被编辑,并得到一个疑似病毒作者的姓名,通过该姓名我们找到了相应的百度知道首页(hxxps://zhidao.baidu.com/question/11*0859)。如下图所示:

 


百度知道首页
 

该百度知道页面中,我们找到了两款与该作者相关的软件:"lsy资源助手"和"LSY经典闹铃v1.1",这两个软件包含有作者的QQ信息和作者姓名的缩写(Mr.l.s.y)。"LSY经典闹铃v1.1"由于未知原因无法运行,"LSY经典闹铃v1.1"相关数据信息,如下图所示:

 

"LSY经典闹铃v1.1"相关数据信息

"lsy资源助手"运行截图,如下图所示:


"lsy资源助手"运行截图
 

在上述字符串信息中,我们可以看到阿里旺旺账号名l******6,其中lsy刚好符合"罗**"的汉语拼音缩写。通过我们搜索阿里旺旺用户名,我们找到相关用户信息,发现该账户确实与2*********@qq.com相关QQ号存在联系。相关阿里旺旺账户信息,如下图所示:

 


账户信息
 

根据火绒截获的病毒样本,可以发现其中一个恶意URL "http://www.my***********.top/adcheatReserved/gx.html",通过查询https://whois.icann.org/zh/lookup?name=www.my***********.top进行域名反查。我们获得了更多域名注册者的信息,如下图所示:

 


病毒作者相关信息
 

我们发现,在前面溯源中找到的QQ邮箱(1*******86)和手机号(17*******45)同时在上述信息中出现。我们再以"LSY经典闹铃v1.1"软件中出现的另一个QQ邮箱号"29*****@qq.com"作为线索,在支付宝使用"忘记密码"方式获得相关手机号,对比前文中出现的手机号,也有极高的相似度。相关信息,如下图所示:

 


密码找回页面信息
 

另外,在之前对Bcrypt病毒家族样本的分析过程中,曾多次在病毒服务器数据库密码以及解密代码等处出现19*****7的数字序列,不排除该数字序列为病毒作者生日的可能性。
 

综上所述,上述信息均指向同一个主体,相关信息如下:
 

姓名:罗**
 

QQ号:1*******86
 

手机号:1********45
 

生日(疑似):19**年*月*7日
 

附录
 

火绒收集到的部分受感染易语言程序名,如下图所示:

 


相关教程

  • 火绒安全软件如何在线升级|火绒安全软件的在线升级方法
    火绒安全软件如何在线升级|火绒安全软件的在线升级方法

    时间:2020-04-06 编辑:qiaobin

    大家在使用电脑的时候,知道火绒安全软件如何在线升级吗?在使用火绒安全软件的过程中,用户如果关闭了“自动升级”功能,后续就只能手动进行更新了。那么,火绒该怎么在线升级呢?下面小编就来详细介绍一下火绒安全软件在线升级方法,不清楚相关操作的朋友可不要错过了。

  • 火绒安全软件如何隔绝广告|拦截广告的方法
    火绒安全软件如何隔绝广告|拦截广告的方法

    时间:2020-03-24 编辑:qiaobin

    电脑的使用安全对于用户来说是个至关重要的事情,而今天小编就要来给大家说说火绒安全软件如何隔绝广告?这款系统防护软件不仅可以帮助用户解决系统的安全问题,软件还自带广告拦截功能,如果你还不知道具体的操作方法,就赶快来看看下面的文章吧!

  • 火绒安全软件怎么添加信任文件?添加信任文件的方法
    火绒安全软件怎么添加信任文件?添加信任文件的方法

    时间:2020-03-13 编辑:qiaobin

    今天来给大家说说火绒安全软件怎么添加信任文件?皆知,火绒安全软件可以帮助用户去找出各类恶意程序,但是呢,在这个过程中,有时候也会出现一些其他软件被误杀的情况,这样一来用户在使用软件的时候就会出现问题了,那么要如何避免软件被误杀呢?其实可以将这些软件添加为信任文件,这样就不会被误杀了,具体的操作方法且看下文介绍。

  • 火绒安全软件如何设置代理服务器?代理服务器的设置方法
    火绒安全软件如何设置代理服务器?代理服务器的设置方法

    时间:2020-03-13 编辑:qiaobin

    火绒安全软件如何设置代理服务器?相信大家在使用电脑的时候会去下载一些安全杀毒软件,火绒安全软件也是其中一种,那么知道代理服务器这一概念吗?要是电脑使用了代理服务器的话就可以加速网站的访问速度、下载速度等等,最厉害的还可以隐藏自己的真实地址信息,那么火绒安全软件要如何设置代理服务器呢?请看下文介绍吧。

  • 火绒安全软件怎么修改HOSTS文件?快速修改HOSTS文件的方法
    火绒安全软件怎么修改HOSTS文件?快速修改HOSTS文件的方法

    时间:2020-03-13 编辑:qiaobin

    大家知道火绒安全软件怎么修改HOSTS文件吗?单从字面意思理解火绒安全软件,就容易得出这是一款杀防病毒安全软件。有很多用户要去修改本地的HOSTS文件,可是却始终忘记了HOSTS文件位置,因此就可以借助火绒安全软件来帮助大家了,那么如何修改HOSTS文件呢?且看下文介绍吧。

  • 火绒曝快压传播病毒,推广流氓软件,劫持流量
    火绒曝快压传播病毒,推广流氓软件,劫持流量

    时间:2018-07-12 编辑:kunyi

    日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan StartPage ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。

继续阅读

  • 原神2.7版本活动有哪些 活动时间表一览
    原神2.7版本活动有哪些 活动时间表一览

    时间:2022-06-22 编辑:fubiao

    原神2 7版本最近就要更新了,除了很多新内容,新角色,新装备。而且最近官方还推出了2 7版本的预告直播,与玩家密切相关的活动内容也有所透露。那么原神2 7的活跃度如何?现在就让大家和小编一起去寻找答案吧!准备领福利!

  • 《凡人修仙传:人界篇》如何将IP的力量发挥得淋漓尽致
    《凡人修仙传:人界篇》如何将IP的力量发挥得淋漓尽致

    时间:2022-06-22 编辑:fubiao

    《凡人修仙传:人界篇》就是一款拥有正版授权,改编自同名IP《凡人修仙传》小说的游戏。在这种IP游戏的开发和制作过程中,如何在IP粉丝心中还原小说中那如梦如幻的东方世界,已然成为制作游戏时需要克服的第一道障碍。此前,游戏在硬核渠道进行第一次测试,笔者在进行了一番深度体验后,不得不说,不愧是百亿制作人的匠心出品,可以说是凡人IP天花板级别的游戏

  • 幻塔灰域灾星怎么做 任务完成流程攻略
    幻塔灰域灾星怎么做 任务完成流程攻略

    时间:2022-06-22 编辑:fubiao

    在幻塔里,灰域灾星任务是只有完成前置任务才可以解锁的后置任务,总体而言是要求我们去击败灾星。具体怎么做呢?下面就为大家带来关于幻塔灰域灾星怎么做的详细攻略,一起来看看吧。

  • 阴阳师万羽落怎么过 残局得胜第二关选择攻略
    阴阳师万羽落怎么过 残局得胜第二关选择攻略

    时间:2022-06-22 编辑:fubiao

    残局得胜作为阴阳师的正规复刻版,相信你阴阳师不会对游戏玩法有任何怀疑。是一个不使用自己本尊和护魂的玩法,通过对比自己对游戏的理解就能轻松过关。今天给大家带来的是阴阳师的攻略!

  • 深空之眼黑10怎么过 低练打法攻略
    深空之眼黑10怎么过 低练打法攻略

    时间:2022-06-22 编辑:fubiao

    在深空之眼中,相信很多玩家发现黑区10在游戏中通关困难,减少暗伤和怒气习得。明星满满的不容易。那么深空之眼黑10怎么样?下面给大家一个低练攻略,希望能提供一些帮助!

游戏榜单