中新網12月4日電 12月1日,利用豆瓣作為C&C服務器進行攻擊的UNNAMED1989勒索病毒爆發。這一利用“易語言開發環境”為介質實現快速傳播的病毒,因為直接以微信掃碼取代了以往通過數字貨幣進行贖買的支付方式,也被形象的稱作“微信支付”勒索病毒。
360安全衛士官微早于12月2日凌晨就緊急發布了UNNAMED1989勒索病毒的傳播情況和初步分析結論。目前,360安全衛士已可有效攔截該勒索病毒的攻擊。但此次“微信支付”勒索病毒所暴露出的黑客新型攻擊手段,已引起用戶的廣泛關注。對此,360對該勒索病毒的發展歷程進行了進一步的深入分析。
黑客成長史——從暗中嘗試到公開傳播
據360研究和追蹤,“微信支付”勒索病毒的作者不僅熟練PC開發和移動端開發,還掌握了多個編程語言,早在2017 年4月就開始嘗試通過論壇傳播“正常源碼+帶毒模塊”。
2018年4月,該作者開始嘗試投遞帶毒工程項目,當時還使用的是Github存儲遠程控制信息。
到了2018年下半年,該作者開始使用豆瓣分發控制指令。通過豆瓣日記可以看到,其9月30 日開始進行調試。
從10月開始,作者通過論壇以“分享源代碼”的方式開始嘗試傳播。
11月13日,作者開始在論壇散布帶有惡意代碼的所謂“惡搞代碼”,這也是感染用戶計算機的惡意代碼首次對外公開傳播。當天,就有易語言的開發者中招。
11月15日,作者在易語言開發者論壇進一步傳播這一惡意代碼。
11月15日,第一款被感染的應用開始在互聯網中傳播。
11月19日,超過20款應用被篡改,惡意程序開始在互聯網大肆傳播。
在11月底,惡意模塊被舉報,論壇管理員發現問題,并刪除了傳播源。
360反擊戰——從發現到快速查殺
2018年11月30日,“微信支付”勒索病毒作者開始下發“Unnamed勒索”軟件。
12月1日,360安全衛士發布安全預警,提醒用戶及時查殺木馬。
12月2日,360安全衛士率先發布解密工具,支持unnamed1989勒索病毒解密。
12月3日,360安全衛士發布勒索病毒追溯分析,解析勒索病毒源頭以及下發方式,提醒廣大用戶注意。
12月4日,360支持對該病毒感染的易語言開發環境的查殺。
需要注意的是,根據360分析發現,“微信支付”勒索病毒攻擊者不僅往受害者機器上植入了勒索病毒,還植入過盜號木馬。這些惡意程序會注入到合法進程中工作,并帶有更新功能,通過獲取攻擊者豆瓣主頁上的字符串獲取更新地址,并根據情況更改植入受害者計算機的惡意程序。
由此可以表明,“微信支付”勒索病毒的攻擊是一個持續的、不斷跳轉的過程,再加上“供應鏈污染”的傳播方式和微信掃碼的支付方式,一度引起廣大用戶恐慌,也讓網絡安全工作者高度重視,而360此次對“微信支付”勒索病毒及時高效的應對,無疑是對抗勒索病毒的成功一役,為廣大開發者和用戶增添信心。
