12月1日�,利用豆瓣作為C&C服務器進行攻擊的UNNAMED1989勒索病毒爆發(fā)��。這一利用“易語言開發(fā)環(huán)境”為介質(zhì)實現(xiàn)快速傳播的病毒�����,因為直接以微信掃碼取代了以往通過數(shù)字貨幣進行贖買的支付方式��,也被形象的稱作“微信支付”勒索病毒��。
360安全衛(wèi)士官微早于12月2日凌晨就緊急發(fā)布了UNNAMED1989勒索病毒的傳播情況和初步分析結(jié)論����。目前�����,360安全衛(wèi)士已可有效攔截該勒索病毒的攻擊��。但此次“微信支付”勒索病毒所暴露出的黑客新型攻擊手段�����,已引起用戶的廣泛關(guān)注�。對此,360對該勒索病毒的發(fā)展歷程進行了進一步的深入分析��。
黑客成長史——從暗中嘗試到公開傳播
據(jù)360研究和追蹤���,“微信支付”勒索病毒的作者不僅熟練PC開發(fā)和移動端開發(fā)����,還掌握了多個編程語言��,早在2017 年4月就開始嘗試通過論壇傳播“正常源碼+帶毒模塊”��。
2018年4月�����,該作者開始嘗試投遞帶毒工程項目�,當時還使用的是Github存儲遠程控制信息。
到了2018年下半年�����,該作者開始使用豆瓣分發(fā)控制指令����。通過豆瓣日記可以看到��,其9月30 日開始進行調(diào)試����。
從10月開始����,作者通過論壇以“分享源代碼”的方式開始嘗試傳播。
11月13日�,作者開始在論壇散布帶有惡意代碼的所謂“惡搞代碼”,這也是感染用戶計算機的惡意代碼首次對外公開傳播����。當天,就有易語言的開發(fā)者中招����。
11月15日,作者在易語言開發(fā)者論壇進一步傳播這一惡意代碼����。
11月15日,第一款被感染的應用開始在互聯(lián)網(wǎng)中傳播�。
11月19日,超過20款應用被篡改,惡意程序開始在互聯(lián)網(wǎng)大肆傳播���。
在11月底��,惡意模塊被舉報,論壇管理員發(fā)現(xiàn)問題�,并刪除了傳播源。
360反擊戰(zhàn)——從發(fā)現(xiàn)到快速查殺
2018年11月30日����,“微信支付”勒索病毒作者開始下發(fā)“Unnamed勒索”軟件。
12月1日��,360安全衛(wèi)士發(fā)布安全預警��,提醒用戶及時查殺木馬���。
12月2日��,360安全衛(wèi)士率先發(fā)布解密工具���,支持unnamed1989勒索病毒解密。
12月3日���,360安全衛(wèi)士發(fā)布勒索病毒追溯分析��,解析勒索病毒源頭以及下發(fā)方式�����,提醒廣大用戶注意���。
12月4日�,360支持對該病毒感染的易語言開發(fā)環(huán)境的查殺����。
需要注意的是,根據(jù)360分析發(fā)現(xiàn)���,“微信支付”勒索病毒攻擊者不僅往受害者機器上植入了勒索病毒����,還植入過盜號木馬���。這些惡意程序會注入到合法進程中工作����,并帶有更新功能,通過獲取攻擊者豆瓣主頁上的字符串獲取更新地址���,并根據(jù)情況更改植入受害者計算機的惡意程序����。
由此可以表明�����,“微信支付”勒索病毒的攻擊是一個持續(xù)的���、不斷跳轉(zhuǎn)的過程,再加上“供應鏈污染”的傳播方式和微信掃碼的支付方式���,一度引起廣大用戶恐慌�����,也讓網(wǎng)絡安全工作者高度重視�,而360此次對“微信支付”勒索病毒及時高效的應對���,無疑是對抗勒索病毒的成功一役�����,為廣大開發(fā)者和用戶增添信心�。
關(guān)鍵詞:
