导航

赚域资源网 > 网络热点 > 热门事件 >

“微信支付”病毒嫌疑人已落网:22岁,茂名人,疑似培训学校毕业

赚域资源网 2018-12-08 14:04 热门事件

12月2日,黑奇士(idhqssima)报道,“微信赎金”(也称微信支付)病毒在国内爆发,这是全球首例利用微信支付索取赎金的勒索病毒。

目前该事件已有最新进展:有网络媒体爆出犯罪嫌疑人的详细信息,包括:姓名、生日、微信号、手机号、邮箱、豆瓣主页等,其详细程度已经足够让警方进行抓捕。

最新消息,东莞网警在省公安厅网警总队的统筹指挥下,24小时内火速侦破“12.05”新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者1名,缴获木马程序和作案工具一批。该案的成功侦破及时阻断了该病毒对全网计算机系统入侵的进一步扩大,有效遏制了病毒进一步传播。

东莞网警支队获悉省公安厅网警总队下发线索后快速反应,于12月4日22时准确摸排出嫌疑人真实身份为罗某某(男,22岁,广东茂名人),并于12月5日15时将嫌疑人罗某某抓获,24小时内火速侦破了“12.05”新型勒索病毒破坏计算机信息系统案。

“微信支付”病毒嫌疑人已落网:22岁,茂名人,疑似培训学校毕业

(公布嫌疑人信息的网页截图)

据网上的帖子称,“微信赎金”的作者罗某某,曾在重庆某电脑培训学校就读,其在百度问答里曾表示:“(在这个学校)第一个学期什么都不学……你一定会后悔”。

瑞星安全专家向黑奇士表示,病毒嫌疑人的登陆IP位于东莞。

“微信支付”病毒嫌疑人已落网:22岁,茂名人,疑似培训学校毕业

(嫌疑人的后台登陆记录)

不要慌:勒索病毒只感染电脑,跟微信无关

自事件爆出以来,多数媒体均采用“微信赎金”、“微信支付病毒”等称呼该病毒,媒体的大量报道给普通网民带来了巨大困扰,尤其是对电脑知识了解不多的大爷大妈们,还以为这个病毒会通过微信传播,甚至出现了卸载微信的极端案例。

瑞星安全专家表示,这个勒索病毒基于电脑操作系统,不是手机病毒,且对微信、支付宝不会造成影响,网民可放心使用这些常见手机支付方式。另外,根据病毒编写水平、影响范围、病毒危害和解密难度等维度分析,该病毒在勒索病毒中的威胁等级只能排名2颗星,整体属于危害较小的水平。

“微信支付”病毒嫌疑人已落网:22岁,茂名人,疑似培训学校毕业

专家称,该病毒之所以引起广泛关注,主要是因为在病毒作者勒索赎金时,没有使用黑客普遍采用的比特币等方式,而是明目张胆地使用微信支付。致使许多没有专业知识、没仔细阅读新闻,只看了新闻标题的普通用户产生误解。

病毒技术水平不高,定向传染,普通用户中毒较少

黑奇士拿到了瑞星公司的勒索病毒分析报告,报告指出:

“病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径‘供应链污染’”

所谓“供应链污染”,指的是罗某某在易语言专业论坛上活跃,通过发帖、曝光等方式获取知名度,然后向论坛网友提供经过修改的易语言库。

由于该论坛在易语言开发者中具有一定知名度,当有开发者下载使用罗某提供的易语言模块时,其电脑就会被感染。开发者使用中毒工具编写的软件也会携带木马,普通网民使用这些软件也会中毒。

黑奇士查询该论坛发现,客服在12月5日发布官方通告称,“(罗某)在分享源码中带有一个被修改过的精易模块,模块里面包含恶意代码,通过在线下载木马程序对电脑进行感染,被感染用户的电脑的易语言和精易模块会被修改并插入木马程序,经我们分析,这个木马程序主要是监控电脑的键盘记录,包括支付宝、天猫等平台的账号密码并上传到对方数据库”

“微信支付”病毒嫌疑人已落网:22岁,茂名人,疑似培训学校毕业

通告称,将该用户的详细资料提供给警方,已报案处理。

密码放在公开博客网站这个嫌疑人有点“傻”

瑞星病毒分析报告中指出,该病毒具有三大特点:

1、加密算法简单,被勒索文件可以完全还原。相比于国外流行的勒索使用对称非对称加密算法,该勒索病毒使用加密手法相对较弱。从中可以看出该病毒作者对加密算法掌握不深。(黑奇士注:所以把密钥放在了本地,可以让各家安全厂商轻易解密。这也跟病毒作者毕业于电脑培训学校的经历相互印证)

2、该病毒不会大范围爆发,感染范围可控。中毒者都是在不知情的情况下运行了被插入病毒代码的软件,没有利用任何漏洞进行传播,所以病毒受害者范围都会控制在使用病毒软件的范围内,不会对其他未使用带毒软件的用户造成任何影响。

这就说明该病毒不可能大规模、大范围的爆发。同时该病毒的易感人群为易语言爱好者,被植入病毒代码的软件大部分为黑灰产软件,对于普通人来说不用太担心。

3、公开博客中包含服务器密码,这个嫌疑人有点“傻”。

病毒嫌疑人先通过易语言论坛传播带有木马的模块,这些模块会每天去访问特定网站,等待激活指令(我怎么想起了电视剧《潜伏》),这些网站包含豆瓣、Github等5个网站。

在潜伏了将近2个月、积累了足够的感染用户之后,嫌疑人才向病毒发出指令,引导其爆发。给人一种“突然爆发、中毒用户”很多的假象。

瑞星分析指出,在豆瓣等公开博客网站中,包含了嫌疑人的服务器通用密码,专家使用这些密码,可以登陆该嫌疑人的微博、百度、360、爱奇艺、中关村在线、印象笔记等网站,通过这些网站也暴露了病毒作者的真实身份。

“微信支付”病毒嫌疑人已落网:22岁,茂名人,疑似培训学校毕业

(嫌疑人的个人页面)

用四川话讲,这是个瓜娃子!用北京话说,这人四不四傻!

瑞星统计了潜在中毒者的地域分布,通过分析发现,几乎全国各地都有感染,排名靠前的有四川、河南和广东。

“微信支付”病毒嫌疑人已落网:22岁,茂名人,疑似培训学校毕业

向“潜伏”的中毒电脑发布命令的豆瓣日志已删除,github上的C2地址也已被删除,估计是病毒作者所删。病毒作者持有的那个域名目前暂时不能解析,剩下两个被瑞星Sinkhole了,但病毒潜在的威胁仍然存在。

目前,瑞星公司所有产品均可对其进行拦截。

【站长强烈推荐】2019最新齐全的网赚项目集合,2019一起暴富! 点击此处进入了解