12月1日��,利用豆瓣作為C&C服務(wù)器進(jìn)行攻擊的UNNAMED1989勒索病毒爆發(fā)�����。這一利用“易語(yǔ)言開(kāi)發(fā)環(huán)境”為介質(zhì)實(shí)現(xiàn)快速傳播的病毒��,因?yàn)橹苯右晕⑿艗叽a取代了以往通過(guò)數(shù)字貨幣進(jìn)行贖買(mǎi)的支付方式�,也被形象的稱(chēng)作“微信支付”勒索病毒��。
360安全衛(wèi)士官微早于12月2日凌晨就緊急發(fā)布了UNNAMED1989勒索病毒的傳播情況和初步分析結(jié)論�。目前,360安全衛(wèi)士已可有效攔截該勒索病毒的攻擊���。但此次“微信支付”勒索病毒所暴露出的黑客新型攻擊手段����,已引起用戶(hù)的廣泛關(guān)注��。對(duì)此���,360對(duì)該勒索病毒的發(fā)展歷程進(jìn)行了進(jìn)一步的深入分析�。
黑客成長(zhǎng)史——從暗中嘗試到公開(kāi)傳播
據(jù)360研究和追蹤�����,“微信支付”勒索病毒的作者不僅熟練PC開(kāi)發(fā)和移動(dòng)端開(kāi)發(fā)���,還掌握了多個(gè)編程語(yǔ)言�����,早在2017 年4月就開(kāi)始嘗試通過(guò)論壇傳播“正常源碼+帶毒模塊”�。
2018年4月����,該作者開(kāi)始嘗試投遞帶毒工程項(xiàng)目,當(dāng)時(shí)還使用的是Github存儲(chǔ)遠(yuǎn)程控制信息�。
到了2018年下半年�,該作者開(kāi)始使用豆瓣分發(fā)控制指令����。通過(guò)豆瓣日記可以看到,其9月30 日開(kāi)始進(jìn)行調(diào)試�。
從10月開(kāi)始,作者通過(guò)論壇以“分享源代碼”的方式開(kāi)始嘗試傳播��。
11月13日��,作者開(kāi)始在論壇散布帶有惡意代碼的所謂“惡搞代碼”���,這也是感染用戶(hù)計(jì)算機(jī)的惡意代碼首次對(duì)外公開(kāi)傳播�����。當(dāng)天���,就有易語(yǔ)言的開(kāi)發(fā)者中招。
11月15日�,作者在易語(yǔ)言開(kāi)發(fā)者論壇進(jìn)一步傳播這一惡意代碼。
11月15日���,第一款被感染的應(yīng)用開(kāi)始在互聯(lián)網(wǎng)中傳播�����。
11月19日���,超過(guò)20款應(yīng)用被篡改,惡意程序開(kāi)始在互聯(lián)網(wǎng)大肆傳播��。
在11月底���,惡意模塊被舉報(bào)����,論壇管理員發(fā)現(xiàn)問(wèn)題���,并刪除了傳播源����。
360反擊戰(zhàn)——從發(fā)現(xiàn)到快速查殺
2018年11月30日��,“微信支付”勒索病毒作者開(kāi)始下發(fā)“Unnamed勒索”軟件�����。
12月1日,360安全衛(wèi)士發(fā)布安全預(yù)警��,提醒用戶(hù)及時(shí)查殺木馬����。
12月2日,360安全衛(wèi)士率先發(fā)布解密工具�,支持unnamed1989勒索病毒解密。
12月3日����,360安全衛(wèi)士發(fā)布勒索病毒追溯分析,解析勒索病毒源頭以及下發(fā)方式�,提醒廣大用戶(hù)注意。
12月4日�����,360支持對(duì)該病毒感染的易語(yǔ)言開(kāi)發(fā)環(huán)境的查殺�����。
需要注意的是��,根據(jù)360分析發(fā)現(xiàn),“微信支付”勒索病毒攻擊者不僅往受害者機(jī)器上植入了勒索病毒�����,還植入過(guò)盜號(hào)木馬���。這些惡意程序會(huì)注入到合法進(jìn)程中工作,并帶有更新功能���,通過(guò)獲取攻擊者豆瓣主頁(yè)上的字符串獲取更新地址����,并根據(jù)情況更改植入受害者計(jì)算機(jī)的惡意程序�。
由此可以表明,“微信支付”勒索病毒的攻擊是一個(gè)持續(xù)的���、不斷跳轉(zhuǎn)的過(guò)程�����,再加上“供應(yīng)鏈污染”的傳播方式和微信掃碼的支付方式�,一度引起廣大用戶(hù)恐慌���,也讓網(wǎng)絡(luò)安全工作者高度重視��,而360此次對(duì)“微信支付”勒索病毒及時(shí)高效的應(yīng)對(duì)���,無(wú)疑是對(duì)抗勒索病毒的成功一役��,為廣大開(kāi)發(fā)者和用戶(hù)增添信心�。
關(guān)鍵詞:
