勒索病毒盯上微信支付!過萬名使用者被感染!
又見勒索病毒!這次竟用上了移動支付!
12月4日,資訊保安公司“火絨安全實驗室”釋出訊息稱,12月1日爆發的“微信支付”勒索病毒正在快速傳播,感染的電腦數量越來越多。
從索要比特幣,到利用微信收款二維碼收取勒索金,黑客竟也“與時俱進”起來。隨著黑客通過移動支付工具進行勒索事件的曝光,再次敲響了移動支付安全性的警鐘。
1
勒索病毒盯上移動支付
12月5日,《國際金融報》記者從騰訊方面瞭解到,12月1日,騰訊電腦管家接到網友求助,稱其電腦感染一款使用手機掃碼支付作為贖金支付渠道的勒索病毒。該病毒入侵成功後首先會鎖定使用者檔案,然後彈出微信二維碼,要求使用者掃碼支付110元贖金,獲得解金鑰匙。
據火絨安全團隊監測,截至12月3日,已有超兩萬使用者感染該病毒,被感染電腦數量還在增長。 病毒製作者利用豆瓣等平臺當作下發指令的C&;;C伺服器,除了鎖死受害者檔案勒索贖金,還大肆偷竊使用者的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號。
而據騰訊電腦管家方面透露的資料,截至12月4日,目前全網中招使用者已經過萬。
騰訊電腦管家方面對《國際金融報》記者稱,從多個使用者機器提取和後臺資料追溯看, 該勒索病毒的傳播源是一款叫 “賬號操作 V3.1”的易語言軟體,可以直接登入多個聊天帳號實現切換管理 。值得注意的是,病毒傳播者還利用更新海草多開版.exe、小印象邀請註冊v1.0.vmp.exe、【v軟】披薩頭條多執行緒邀請、註冊v1.0.vmp.exe、優優群優化1.5.vmp.exe、【海草公社】多執行緒閱讀7.0.exe、更新海草_已啟用.exe 等黑灰產工具,主要用來多賬號登陸或刷量傳播病毒。
騰訊電腦管家的監測顯示,Unname1989勒索病毒還會感染易語言編譯環境的靜態庫krnln_static.lib和第三方易語言庫“精易模組”,在被感染的電腦上使用易語言開發工具開發其他應用軟體時,會造成病毒擴散 。
“不同於其他勒索病毒,此次勒索病毒沒有修改檔案字尾名。”騰訊電腦管家技術專家李鐵軍告訴《國際金融報》記者,“一經感染,該勒索病毒對使用者電腦加密txt、office文件等有價值資料,並在桌面釋放一個‘你的電腦檔案已被加密,點此解密’的快捷方式後,彈出解密教程和收款二維碼,最後強迫受害使用者通過手機轉帳繳付解密酬金。”
12月4日,騰訊迴應稱,該新型勒索病毒通過加密電腦上的doc、jpg等常用檔案,然後利用微信支付二維碼進行勒索贖金。微信已第一時間對所涉勒索病毒作者賬戶進行封禁、收款二維碼予以緊急凍結。微信使用者財產和賬戶安全不受任何威脅。
騰訊方面提醒廣大使用者,該勒索病毒可能通過任何形式的支付方式索要轉賬,若遭遇勒索,不要付款,及時報警。
火絨安全團隊則建議被感染使用者,除了防毒和解密被鎖死的檔案外,請儘快修改上述平臺密碼 。
支付寶也在12月4日表示,目前沒有一例支付寶賬戶受到影響。針對此類風險,支付寶風控系統早有針對性防護,包括二次校驗簡訊校驗碼、人臉識別等。即便密碼洩露,也能最大程度確保賬戶安全。
但當記者問及如何預防移動支付成為“黑產”幫凶時,騰訊安全方面相關人士強調,“只是勒索者用二維碼收款,這個事情和支付沒有任何關係,現在很多媒體釋出的資訊帶有一定的誤導,讓使用者以為是微信支付的二維碼是勒索病毒。” 螞蟻金服方面則表示,相關細節不方便透露。
2
背後的“黑色產業鏈”
伴隨勒索病毒攻擊方式進一步升級,勒索病毒在經歷單打獨鬥的發展時期後,也已呈現出組織團伙化、產業鏈條化的特徵。
騰訊御見威脅情報中心發現,一次完整的勒索病毒攻擊流程涉及勒索病毒作者、勒索者、傳播渠道商、代理、受害者5個角色,從業人員之間的分工十分明確。
具體來說,勒索病毒作者負責勒索病毒編寫製作,對抗安全軟體;勒索者定製專屬病毒,並聯系傳播渠道商進行投放;代理向受害者假稱自己能夠解密各勒索病毒加密的檔案,實則與勒索者合作,共同賺取受害者的贖金。
實際上,“勒索病毒”早在30多年前就已出現,相關勒索事件也屢見不鮮。勒索軟體(英文:Ransomware)最早出現在1989年,當年哈佛大學畢業的Joseph L.PoPP建立了第一個勒索軟體病毒AIDS Trojan。
1996年,哥倫比亞大學和IBM的安全專家撰寫了一個叫Cryptovirology的檔案,明確概述了勒索軟體Ransomware的概念:利用惡意程式碼干擾中毒者的正常使用,只有交錢才能恢復正常。
2013年底,一種被稱為CryptoLocker的病毒出現,並首次採用比特幣作為勒索金,在病毒出現後的短短一個月內感染了上百萬臺電腦,並對每臺電腦收取27美元的勒索金。
2017年10月,名為“BADRabbit(壞兔子)”的新型勒索病毒襲擊歐洲各地,克蘭國際機場和俄羅斯三家媒體先遭襲擊,德國、土耳其、烏克蘭、保加利亞之後也相繼中招。
去年的“WannaCry”勒索病毒事件造成極大破壞,瑞星釋出的勒索病毒分析報告中直言,WannaCry是年度破壞之王。直至今日,由於病毒變種不斷出現,WannaCry依然在持續傳播。
據騰訊御見威脅情報中心監控,WannaCry近期攻擊行業分佈以學校、傳統工業、政府機構為主要目標群體,其中學校被攻擊的比例更是佔到35%。360公司對已爆發近17個月的WannaCry勒索病毒在國內的感染情況進行了統計,2018年第三季度每天仍有約6000至14000的感染量 。
今年8月份,騰訊智慧安全御見威脅情報中心稱,國內多家大型企業當日遭遇GlobeImposter勒索病毒攻擊。黑客通過入侵企業內網利用RDP/SMB暴力破解在內網擴散,投放Globelmposter勒索病毒,導致系統破壞,影響正常工作秩序。
根據阿里雲統計,阿里雲平臺在2018年第三季度共攔截約836億次攻擊,其中利用永恆之藍漏洞進行攻擊的數量佔到近1/3。
根據聯邦調查局(FBI)釋出的《網際網路犯罪報告》,2017年,勒索軟體在北美造成了約234萬美元的損失,2016年則為約243萬美元,而 2015 年的損失為160萬美元。
網路安全人士向《國際金融報》記者表示,相比於去年的“WannaCry”,此次勒索病毒被業內稱為“小學生”級別的病毒,但它所攻擊的物件是我們生活中必不可少的移動支付,因此移動支付安全應當引起重視。
李鐵軍也直言,由於病毒傳播者往往會無視防毒軟體的攔截提示,該勒索病毒攻擊特定人群,定向傳播十分奏效。隨著網際網路技術快速發展,這幾年勒索病毒的數量增長比較快,很多勒索病毒的水平不是很高,但社會影響深遠。
3
敲響網路安全警鐘
工信部最近公佈的2018年第三季度網路安全威脅態勢情況顯示,公共網際網路網路安全形勢依然嚴峻,將開展移動惡意程式專項治理工作。
據工信部介紹,今年第三季度,使用者資料洩露事件多有發生,涉及網際網路、物流、酒店等多個行業企業,最高達上億條資訊記錄,疑似是由於企業伺服器或手持終端被植入惡意程式 ,以及內部安全管理機制不完善等問題導致。而隨著“企業上雲”流行,國內外多家雲端計算平臺相繼發生故障,出現大規模使用者訪問異常、使用者資料丟失等問題,暴露出雲端計算平臺在管理、運維、防護等方面仍存在諸多不足。
工信部稱,下一步將組織各地通訊管理局、電信運營商、網際網路企業、域名機構等單位開展針對移動惡意程式的專項治理工作,及時發現和消除移動惡意程式等網路安全威脅。
對於此類網路黑產,微信方面表示,對任何形式的網路黑產犯罪“零容忍”,一直在持續打擊網路黑產,實現了全鏈條精確打擊。支付寶稱,在智慧風控的保護下,支付寶的資損率低至千萬分之五。即便出現小概率的賬戶被盜,支付寶也承諾會全額賠付。
李鐵軍介紹,經緊急處置,目前騰訊電腦管家已完成病毒破解,並連夜釋出本地解密工具測試版,同時結合騰訊電腦管家內建的勒索病毒行為攔截功能、文件守護者功能。騰訊電腦管家現已推出三重安全防禦體系,做到事前備份、事中攔截、事後破解,最大限度幫助已中招的網友查殺病毒並修復被加密破壞的檔案。
李鐵軍指出,電腦管家內建的文件守護者功能利用磁碟冗餘空間備份文件資料,一旦某些極端情況下發生意外,使用者可以使用管家工具箱中文件守護者進行文件還原。
此外,李鐵軍表示,電腦管家內建勒索病毒的行為攔截方案,在開啟防禦的情況下,即使是某些未知的勒索病毒,仍然可能防禦成功。電腦管家團隊已破解該勒索病毒的加密機制,對於已經中招的使用者,可直接下載使用破解工具進行解密文件 。
中國支付網創始人劉剛表示,新出臺的《電商法》明確規定,“電子支付服務提供者提供電子支付服務不符合國家有關支付安全管理要求,造成使用者損失的,應當承擔賠償責任。”
劉剛指出,支付黑產在全民移動支付時代會愈演愈烈,由於移動網際網路的普及,相比以往會更容易侵害到 ofollow,noindex" target="_blank">老百姓 (603883 , 診股 )賬戶裡的財產。特別是很多賬號密碼都與支付有了關聯,因此,網民要比以前更加重視各種賬戶的安全防範,防止被黑產“拖庫”、“撞庫”盜刷了資金,不能隨意透露自己的付款碼、身份證號等重要資訊 。