"微信支付"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼
感謝火絨安全的投遞
12月1日爆發的"微信支付"勒索病毒正在快速傳播,感染的電腦數量越來越多。病毒團伙入侵併利用豆瓣的C&C伺服器,除了鎖死受害者檔案勒索贖金(支付通道已經關閉),還大肆偷竊支付寶等密碼。首先,該病毒巧妙地利用"供應鏈汙染"的方式進行傳播,目前已經感染數萬臺電腦,而且感染範圍還在擴大;
一、概述
其次,該病毒還竊取使用者的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度 ofollow,noindex">雲盤 、 京東 、QQ賬號。其次,該病毒還竊取使用者的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號。
火絨團隊強烈建議被感染使用者,除了防毒和解密被鎖死的檔案外,儘快修改上述平臺密碼。
圖:日均感染量圖,最高13134臺(從病毒 伺服器 獲取的資料)
據火絨安全團隊分析,病毒作者首先攻擊軟體 開發 者的電腦,感染其用以程式設計的"易語言"中的一個模組,導致開發者所有使用"易語言"程式設計的軟體均攜帶該勒索病毒。廣大使用者下載這些"帶毒"軟體後,就會感染該勒索病毒。整過傳播過程很簡單,但汙染"易語言"後再感染軟體的方式卻比較罕見。截止到12月3日,已有超過兩萬使用者感染該病毒,並且被感染電腦數量還在增長。
圖:供應鏈汙染流程
此外,火絨安全團隊發現病毒製作者利用豆瓣等平臺當作下發指令的C&C伺服器,火絨安全團隊通過解密下發的指令後,獲取其中一個病毒後臺伺服器,發現病毒作者已祕密收取數萬條淘寶、天貓等賬號資訊。
二、樣本分析
近期,火絨追蹤到使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt在12月1日前後大範圍傳播,感染使用者數量在短時間內迅速激增。通過火絨溯源分析發現,該病毒之所以可以在短時間內進行大範圍傳播,是因為該病毒傳播是利用供應鏈汙染的方式進行傳播,病毒執行後會感染易語言核心靜態庫和精易模組,導致在病毒感染後編譯出的所有易語言程式都會帶有病毒程式碼。供應鏈汙染流程圖,如下圖所示:
供應鏈汙染流程圖
編譯環境被感染後插入的惡意程式碼
在易語言精易模組中被插入的易語言惡意程式碼,如下圖所示:
精易模組中的惡意程式碼
在被感染的編譯環境中編譯出的易語言程式會被加入病毒下載程式碼,首先會通過HTTP請求獲取到一組加密的下載配置,之後根據解密出的網址下載病毒檔案到本地執行。如上圖紅框所示,被下載執行的是一組"白加黑"惡意程式,其中svchost為前期報告中所提到的白檔案,svchost執行後會載入執行libcef.dll中所存放的惡意程式碼。下載執行病毒相關程式碼,如下圖所示:
下載病毒檔案相關程式碼
病毒程式碼中請求網址包含一個豆瓣連結和一個github連結,兩者內容相同,僅以豆瓣連結為例。如下圖所示:
請求到的網頁內容
上述資料經過解密後,可以得到一組下載配置。如下圖所示:
被解密的下載配置
解密相關程式碼,如下圖所示:
解密程式碼
通過配置中的下載地址,我們可以下載到資料檔案,資料檔案分為兩個部分:一個JPG格式圖片檔案和病毒Payload資料。資料檔案,如下圖所示:
資料檔案
libcef.dll
libcef.dll中的惡意程式碼被執行後,首先會請求一個豆瓣網址連結( https://www.douban.com/note/69 *56/)。與被感染的易語言編譯環境中的病毒插入的病毒程式碼邏輯相同,惡意程式碼可以通過豆瓣連結存放的資料,該資料可以解密出一組下載配置。解密後的下載配置,如下圖所示:
下載配置
下載程式碼,如下圖所示:
下載擷取後的有效惡意程式碼資料中,包含有用於感染易語言編譯環境的易語言核心靜態庫和精易模組。除此之外,下載的Payload檔案中還包含有一個Zip壓縮包,配合在病毒程式碼中所包含的通用下載邏輯,此處的Zip壓縮包可能被替換為任意病毒程式。因為病毒作者使用供應鏈汙染的傳播方式,導致相關病毒感染量呈指數級增長。相關程式碼,如下圖所示:
定位Payload壓縮包位置回寫檔案
通過篩查豆瓣連結中存放的加密下載配置資料,我們發現在另外一個豆瓣連結( https://www.douban.com/note/69 *26/)中存放有本次通過供應鏈傳播的勒索病毒Bcrypt。下載配置,如下圖所示:
下載配置
我們在病毒模組JPG副檔名後,用"_"分割標註出了勒索病毒被釋放時的實際檔名。最終被下載的勒索病毒壓縮包目錄情況,如下圖所示:
勒索病毒壓縮包目錄情況
三、病毒相關資料分析
火絨通過病毒作者存放在眾多網址中的加密資料,解密出了病毒作者使用的兩臺SQL/">MySQL伺服器的登入口令。我們成功登入上了其中一臺伺服器,通過訪問 資料庫 ,我們發現通過該供應鏈傳播下載的病毒功能模組:至少包含有勒索病毒、盜號木馬、色情播放軟體等。
我們還在伺服器中發現被盜號木馬上傳的鍵盤記錄資訊,其中包括:淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號等共計兩萬餘條。
我們還在伺服器中發現了Bcrypt病毒上傳的勒索感染資料,通過僅對一臺伺服器資料的分析,我們統計到的病毒感染量共計23081臺(資料截至到12月3日下午)。
日均感染量,如下圖所示:
日均感染量
感染總量統計圖,如下圖所示:
感染總量
現火絨已經可以查殺此類被感染的易語言庫檔案,請裝有易語言編譯環境的開發人員下載安裝火絨安全軟體後全盤掃描查殺。查殺截圖,如下圖所示:
火絨查殺截圖
四、 附錄
樣本SHA256: