"微信支付"勒索病毒制造者被锁定 传播、危害和疫情终极解密
12月1日,首个要求"微信支付"赎金的勒索病毒在国内爆发,根据"火绒威胁情报系统"监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。
根据火绒团队的分析、溯源,该病毒使用"供应链污染"的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的"易语言"编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。
图:部分被感染软件
火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。
图:被盗取的登录信息数据统计信息
此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件。
经过进一步分析,火绒团队发现所有相关信息都指向同一主体--姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。
12月1日该病毒爆发后,"火绒安全软件"当天升级查杀,火绒团队连夜制作了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。广大用户无需担心,使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系火绒团队尝试解密。
火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。
附详细分析报告
数据分析
火绒前期报告中写道,Bcrypt勒索病毒通过供应链污染的方式正在进行大范围传播,病毒会借助被感染的易语言编译环境为跳板,之后病毒会通过从被感染环境编译出的易语言程序在互联网中大范围扩散。通过火绒近期对感染数据的追踪,我们整理出了大量受影响的易语言程序。此类受影响的易语言程序众多,其中还包含有一些易语言程序下载平台(如:万软平台、赚客吧等)。易语言开发人员开发环境被感染后,编译出带毒的易语言程序,再上传到各大程序下载平台上供用户下载,从而使病毒在更广的范围内进行传播,请使用过类似易语言程序的用户及易语言相关开发人员下载火绒安全软件进行自查。受影响最多的易语言程序,如下图所示:
受影响的易语言程序
上述带毒的易语言软件都会成为病毒作者通过C&C网址链接操控的下载器病毒,从而下载执行其他恶意代码。被下载的恶意程序多为"白加黑"恶意病毒,前期报告中仅对感染量较大的libcef.dll病毒模块进行了分析,但此类病毒模块名种类其实还有很多。经过火绒的分析整理,可以直观显示病毒利用不同模块名执行恶意行为的相关情况。由于很多病毒文件名不具有实际意义,统计时以pdb名称为准,如:AutoinitApp_x64.pdb.dll。此类病毒模块名,如下图所示:
病毒模块名列表
各个病毒模块名所占感染终端数量占比,如下图所示:
各个病毒模块名所占感染终端数量占比图
上述病毒模块包含有多种不同的病毒恶意行为,如:勒索加密、盗取用户账户登录信息等。通过火绒对病毒服务器数据进行分析整理,病毒作者会收集以下几类信息,且每类信息与终端ID一一对应:
1.终端ID
2.系统版本信息、当前系统登录用户名、系统登录时间
3.CPU型号
4.屏幕分辨率
5.IP及所属运营商信息
6.软件安装信息
7.安全软件进程信息
8.网购账户登录信息、邮箱登录信息、QQ号登录信息、网盘登录信息等
截至目前,病毒作者共盗取登录信息共计22442条。相关数据统计分析后,如下图所示:
被盗取得登录信息数据统计信息
溯源分析
根据前期报告中写道,病毒代码中的github链接(hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt),我们找到了病毒作者的github主页(hxxps://github.com/qq*6/ja*et),从中发现了病毒作者的提交记录。如下图所示:
病毒作者提交信息
在提交记录中,我们切换到"d1889a4a0ceb7554982d7a924ecebe23200da94"提交记录中,我们发现在本次提交中有一个名为"new 1 - 副本.txt"的BMP图片文件。图片内容,如下图所示:
图片文件内容
如上图红框内代码,此时疑似病毒作者正在调试屏幕截取相关病毒功能。在任务栏中红框所示项目,我们可以看到病毒相关的一些工程正在被编辑,并得到一个疑似病毒作者的姓名,通过该姓名我们找到了相应的百度知道首页(hxxps://zhidao.baidu.com/question/11*0859)。如下图所示:
百度知道首页
该百度知道页面中,我们找到了两款与该作者相关的软件:"lsy资源助手"和"LSY经典闹铃v1.1",这两个软件包含有作者的QQ信息和作者姓名的缩写(Mr.l.s.y)。"LSY经典闹铃v1.1"由于未知原因无法运行,"LSY经典闹铃v1.1"相关数据信息,如下图所示:
"LSY经典闹铃v1.1"相关数据信息
"lsy资源助手"运行截图,如下图所示:
"lsy资源助手"运行截图
在上述字符串信息中,我们可以看到阿里旺旺账号名l******6,其中lsy刚好符合"罗**"的汉语拼音缩写。通过我们搜索阿里旺旺用户名,我们找到相关用户信息,发现该账户确实与2*********@qq.com相关QQ号存在联系。相关阿里旺旺账户信息,如下图所示:
账户信息
根据火绒截获的病毒样本,可以发现其中一个恶意URL "http://www.my***********.top/adcheatReserved/gx.html",通过查询https://whois.icann.org/zh/lookup?name=www.my***********.top进行域名反查。我们获得了更多域名注册者的信息,如下图所示:
病毒作者相关信息
我们发现,在前面溯源中找到的QQ邮箱(1*******86)和手机号(17*******45)同时在上述信息中出现。我们再以"LSY经典闹铃v1.1"软件中出现的另一个QQ邮箱号"29*****@qq.com"作为线索,在支付宝使用"忘记密码"方式获得相关手机号,对比前文中出现的手机号,也有极高的相似度。相关信息,如下图所示:
密码找回页面信息
另外,在之前对Bcrypt病毒家族样本的分析过程中,曾多次在病毒服务器数据库密码以及解密代码等处出现19*****7的数字序列,不排除该数字序列为病毒作者生日的可能性。
综上所述,上述信息均指向同一个主体,相关信息如下:
姓名:罗**
QQ号:1*******86
手机号:1********45
生日(疑似):19**年*月*7日
附录
火绒收集到的部分受感染易语言程序名,如下图所示: