12月1日����,利用豆瓣作為C&C服務(wù)器進(jìn)行攻擊的UNNAMED1989勒索病毒爆發(fā)���。這一利用“易語言開發(fā)環(huán)境”為介質(zhì)實(shí)現(xiàn)快速傳播的病毒��,因?yàn)橹苯右晕⑿艗叽a取代了以往通過數(shù)字貨幣進(jìn)行贖買的支付方式�,也被形象的稱作“微信支付”勒索病毒�����。
360安全衛(wèi)士官微早于12月2日凌晨就緊急發(fā)布了UNNAMED1989勒索病毒的傳播情況和初步分析結(jié)論。目前����,360安全衛(wèi)士已可有效攔截該勒索病毒的攻擊。但此次“微信支付”勒索病毒所暴露出的黑客新型攻擊手段���,已引起用戶的廣泛關(guān)注��。對(duì)此,360對(duì)該勒索病毒的發(fā)展歷程進(jìn)行了進(jìn)一步的深入分析��。
黑客成長(zhǎng)史——從暗中嘗試到公開傳播
據(jù)360研究和追蹤���,“微信支付”勒索病毒的作者不僅熟練PC開發(fā)和移動(dòng)端開發(fā)���,還掌握了多個(gè)編程語言,早在2017 年4月就開始嘗試通過論壇傳播“正常源碼+帶毒模塊”���。
2018年4月����,該作者開始嘗試投遞帶毒工程項(xiàng)目���,當(dāng)時(shí)還使用的是Github存儲(chǔ)遠(yuǎn)程控制信息�。
到了2018年下半年,該作者開始使用豆瓣分發(fā)控制指令�。通過豆瓣日記可以看到,其9月30 日開始進(jìn)行調(diào)試����。
從10月開始,作者通過論壇以“分享源代碼”的方式開始嘗試傳播�。
11月13日,作者開始在論壇散布帶有惡意代碼的所謂“惡搞代碼”�,這也是感染用戶計(jì)算機(jī)的惡意代碼首次對(duì)外公開傳播。當(dāng)天�,就有易語言的開發(fā)者中招。
11月15日���,作者在易語言開發(fā)者論壇進(jìn)一步傳播這一惡意代碼�。
11月15日���,第一款被感染的應(yīng)用開始在互聯(lián)網(wǎng)中傳播��。
11月19日��,超過20款應(yīng)用被篡改����,惡意程序開始在互聯(lián)網(wǎng)大肆傳播。
在11月底��,惡意模塊被舉報(bào)���,論壇管理員發(fā)現(xiàn)問題����,并刪除了傳播源�。
360反擊戰(zhàn)——從發(fā)現(xiàn)到快速查殺
2018年11月30日,“微信支付”勒索病毒作者開始下發(fā)“Unnamed勒索”軟件�。
12月1日����,360安全衛(wèi)士發(fā)布安全預(yù)警,提醒用戶及時(shí)查殺木馬����。
12月2日,360安全衛(wèi)士率先發(fā)布解密工具�����,支持unnamed1989勒索病毒解密。
12月3日��,360安全衛(wèi)士發(fā)布勒索病毒追溯分析�����,解析勒索病毒源頭以及下發(fā)方式���,提醒廣大用戶注意����。
12月4日�,360支持對(duì)該病毒感染的易語言開發(fā)環(huán)境的查殺。
需要注意的是�,根據(jù)360分析發(fā)現(xiàn),“微信支付”勒索病毒攻擊者不僅往受害者機(jī)器上植入了勒索病毒��,還植入過盜號(hào)木馬��。這些惡意程序會(huì)注入到合法進(jìn)程中工作�����,并帶有更新功能,通過獲取攻擊者豆瓣主頁上的字符串獲取更新地址��,并根據(jù)情況更改植入受害者計(jì)算機(jī)的惡意程序����。
由此可以表明,“微信支付”勒索病毒的攻擊是一個(gè)持續(xù)的����、不斷跳轉(zhuǎn)的過程,再加上“供應(yīng)鏈污染”的傳播方式和微信掃碼的支付方式����,一度引起廣大用戶恐慌,也讓網(wǎng)絡(luò)安全工作者高度重視�,而360此次對(duì)“微信支付”勒索病毒及時(shí)高效的應(yīng)對(duì),無疑是對(duì)抗勒索病毒的成功一役�,為廣大開發(fā)者和用戶增添信心。
關(guān)鍵詞:
