“微信支付”勒索病毒製造者被鎖定傳播、危害和疫情終極解密
首個要求”微信支付”贖金的勒索病毒在國內爆發,根據”火絨威脅情報系統”監測和評估,截至4日晚,該病毒至少感染了10萬台電腦,不光鎖死電腦文件,還竊取了數万條淘寶、支付寶等平台的用戶密碼等信息。
根據火絨團隊的分析、溯源,該病毒使用”供應鏈污染”的方式傳播。該病毒首先通過相關論壇,植入被大量者使用的”易語言”編程程序,進而植入他們編寫的各種軟件產品,所有使用這些軟件產品的電腦都可能被感染。活躍的染毒軟件超過50款,其中多數是”薅羊毛”類灰色軟件。
圖:部分被感染軟件
火絨團隊發現,病毒製造者利用豆瓣等平台當作下髮指令的C&C 服務器。火絨團隊通過逆向分析病毒的下髮指令,成功解密出其中2台病毒服務器,發現大量被病毒竊取的用戶個人信息。僅1台用於存儲數據的病毒服務器,就存放了竊取來的淘寶、支付寶等賬戶密碼兩萬餘條。
圖:被盜取的登錄信息數據統計信息
此外,該病毒還將受害電腦所有安裝的軟件進行統計和信息回傳,通過對數據的分析發現,多數受害者沒有安裝安全軟件。
經過進一步分析,火絨團隊發現所有相關信息都指向同一主體–姓名(羅**)、手機(1********45)、QQ(1*****86)、旺旺賬號名(l****96)、郵箱(29*****@qq.com)。火絨已將上述個人信息,和被竊取的受害用戶支付寶密碼等信息,一併交給警方。
12月1日該病毒爆發後,”火絨安全軟件”當天升級查殺,火絨團隊連夜製作了解密工具。隨後,360、等廠商也升級產品,並發佈各自的解密工具。廣大用戶無需擔心,使用這些安全軟件即可查殺該病毒,已經被感染用戶,可以使用這些解密工具還原被鎖死的文件。如果密鑰文件被刪除,也可聯繫火絨團隊嘗試解密。
火絨團隊的分析表明,微信支付、支付寶和豆瓣等平台,均與該病毒的傳播和作惡沒有直接關係,也沒有發現有系統漏洞被利用。微信在12月1號當天關閉了勒索贖金的賬號;豆瓣12月4號刪除了病毒下髮指令的頁面,控制了病毒的進一步傳播。
附詳細分析報告
數據分析
火絨前期報告中寫道,Bcrypt勒索病毒通過供應鏈污染的方式正在進行大範圍傳播,病毒會藉助被感染的易語言編譯環境為跳板,之後病毒會通過從被感染環境編譯出的易語言程序在互聯網中大範圍擴散。通過火絨近期對感染數據的追踪,我們整理出了大量受影響的易語言程序。此類受影響的易語言程序眾多,其中還包含有一些易語言程序下載平台(如:萬軟平台、賺客吧等)。易語言開發人員開發環境被感染後,編譯出帶毒的易語言程序,再上傳到各大程序下載平台上供用戶下載,從而使病毒在更廣的範圍內進行傳播,請使用過類似易語言程序的用戶及易語言相關開發人員下載火絨安全軟件進行自查。受影響最多的易語言程序,如下圖所示:
受影響的易語言程序
上述帶毒的易語言軟件都會成為病毒作者通過C&C網址鏈接操控的下載器病毒,從而下載執行其他惡意代碼。被下載的惡意程序多為”白加黑”惡意病毒,前期報告中僅對感染量較大的libcef.dll病毒模塊進行了分析,但此類病毒模塊名種類其實還有很多。經過火絨的分析整理,可以直觀顯示病毒利用不同模塊名執行惡意行為的相關情況。由於很多病毒文件名不具有實際意義,統計時以pdb名稱為準,如:AutoinitApp_x64.pdb.dll。此類病毒模塊名,如下圖所示:
病毒模塊名列表
各個病毒模塊名所佔感染終端數量佔比,如下圖所示:
各個病毒模塊名所佔感染終端數量佔比圖
上述病毒模塊包含有多種不同的病毒惡意行為,如:勒索加密、盜取用戶賬戶登錄信息等。通過火絨對病毒服務器數據進行分析整理,病毒作者會收集以下幾類信息,且每類信息與終端ID一一對應:
1.終端ID
2.系統版本信息、當前系統登錄用戶名、系統登錄時間
3.CPU型號
4.屏幕分辨率
5.IP及所屬運營商信息
6.軟件安裝信息
7.安全軟件進程信息
8.網購賬戶登錄信息、郵箱登錄信息、QQ號登錄信息、網盤登錄信息等
截至目前,病毒作者共盜取登錄信息共計22442條。相關數據統計分析後,如下圖所示:
被盜取得登錄信息數據統計信息
溯源分析
根據前期報告中寫道,病毒代碼中的github鏈接(hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt),我們找到了病毒作者的github主頁( hxxps://github.com/qq*6/ja*et),從中發現了病毒作者的提交記錄。如下圖所示:
病毒作者提交信息
在提交記錄中,我們切換到”d1889a4a0ceb7554982d7a924ecebe23200da94″提交記錄中,我們發現在本次提交中有一個名為”new 1 – 副本.txt”的BMP圖片文件。圖片內容,如下圖所示:
圖片文件內容
如上圖紅框內代碼,此時疑似病毒作者正在調試屏幕截取相關病毒功能。在任務欄中紅框所示項目,我們可以看到病毒相關的一些工程正在被編輯,並得到一個疑似病毒作者的姓名,通過該姓名我們找到了相應的百度知道首頁(hxxps://zhidao. baidu.com/question/11*0859)。如下圖所示:
百度知道首頁
該百度知道頁面中,我們找到了兩款與該作者相關的軟件:”lsy資源助手”和”LSY經典鬧鈴v1.1″,這兩個軟件包含有作者的QQ信息和作者姓名的縮寫( Mr.lsy)。”LSY經典鬧鈴v1.1″由於未知原因無法運行,”LSY經典鬧鈴v1.1″相關數據信息,如下圖所示:
“LSY經典鬧鈴v1.1″相關數據信息
“lsy資源助手”運行截圖,如下圖所示:
“lsy資源助手”運行截圖
在上述字符串信息中,我們可以看到阿里旺旺賬號名l******6,其中lsy剛好符合”羅**”的漢語拼音縮寫。通過我們搜索阿里旺旺用戶名,我們找到相關用戶信息,發現該賬戶確實與2*********@qq.com相關QQ號存在聯繫。相關阿里旺旺賬戶信息,如下圖所示:
賬戶信息
根據火絨截獲的病毒樣本,可以發現其中一個惡意URL “http://www.my***********.top/adcheatReserved/gx.html”,通過查詢https://whois. icann.org/zh/lookup?name=www.my***********.top進行反查。我們獲得了更多域名註冊者的信息,如下圖所示:
病毒作者相關信息
我們發現,在前面溯源中找到的QQ郵箱(1*******86)和手機號(17*******45)同時在上述信息中出現。我們再以”LSY經典鬧鈴v1.1″軟件中出現的另一個QQ郵箱號”29*****@qq.com”作為線索,在支付寶使用”忘記密碼”方式獲得相關手機號,對比前文中出現的手機號,也有極高的相似度。相關信息,如下圖所示:
密碼找回頁面信息
另外,在之前對Bcrypt病毒家族樣本的分析過程中,曾多次在病毒服務器密碼以及解密代碼等處出現19*****7的數字序列,不排除該數字序列為病毒作者生日的可能性。
綜上所述,上述信息均指向同一個主體,相關信息如下:
姓名:羅**
QQ號:1*******86
手機號:1********45
生日(疑似):19**年*月*7日
附錄
火絨收集到的部分受感染易語言程序名,如下圖所示: