360对“微信支付”勒索病毒的发展历程进行进一步的深入分析

中新网,12 月 4 日。 12月1日,以豆瓣为C&C服务器进行攻击的UNNAMED1989勒索病毒爆发。该病毒以“易语言开发环境”为媒介实现快速传播,也被称为“微信支付”勒索病毒,因为它直接用微信扫码代替了以往通过数字货币兑换的支付方式。

360安全中士微信早在12月2日凌晨就发布了UNNAMED1989勒索病毒的传播情况及初步分析结论。目前,360安全卫士已经能够有效拦截勒索软件攻击。然而,“微信支付”勒索病毒暴露的黑客新攻击方式却引起了用户的广泛关注。对此,360对该勒索软件的发展过程进行了进一步深入分析。

黑客成长史——从秘密尝试到公开传播

据360调研跟踪勒索病毒源码,“微信支付”勒索病毒的作者不仅精通PC开发和移动端开发,还掌握了多种编程语言。早在2017年4月,他就开始尝试传播“普通源码+毒模块”。

图片[1]-360对“微信支付”勒索病毒的发展历程进行进一步的深入分析-唐朝资源网

2018年4月,作者开始尝试投毒工程项目勒索病毒源码,当时使用Github存储远程控制信息。

图片[2]-360对“微信支付”勒索病毒的发展历程进行进一步的深入分析-唐朝资源网

2018年下半年,笔者开始使用豆瓣发布控制指令。从豆瓣日记可以看出,9月30日开始调试。

从10月份开始,作者开始尝试通过“分享源码”的方式通过论坛进行传播。

图片[3]-360对“微信支付”勒索病毒的发展历程进行进一步的深入分析-唐朝资源网

11月13日,作者开始在论坛上散布带有恶意代码的所谓“恶搞代码”。这也是首次公开传播感染用户电脑的恶意代码。同日招募了易语言部分开发者。

11月15日,作者在易语言开发者论坛上进一步传播此恶意代码。

11 月 15 日,第一个受感染的应用程序开始在互联网上传播。

11月19日,20多个应用程序被篡改,恶意程序开始在互联网上传播。

11月底,恶意模块被举报,论坛管理员发现问题,并删除了传播源。

360反击——从发现到速杀

2018年11月30日,“微信支付”勒索病毒的作者开始散布“无名勒索”软件。

12月1日,360安全卫士发布安全警告,提醒用户及时查杀木马。

图片[4]-360对“微信支付”勒索病毒的发展历程进行进一步的深入分析-唐朝资源网

12月2日,360安全卫士率先发布解密工具,支持对unnamed1989勒索病毒的解密。

12月3日,360安全卫士发布勒索软件回顾性分析,分析勒索软件的来源和传播方式,提醒用户注意。

12月4日,360支持检测查杀被病毒感染的易语言开发环境。

需要注意的是,根据360的分析,“微信支付”勒索软件的攻击者不仅在受害者的机器上植入了勒索软件,还植入了盗号木马。这些恶意程序会被注入到合法进程中运行并具有更新功能。更新地址是通过获取攻击者豆瓣主页上的字符串获取的,植入受害者电脑的恶意程序会根据情况变化。

由此可见,“微信支付”勒索软件攻击是一个持续不断、不断跳跃的过程。再加上“供应链污染”的蔓延和微信扫码支付方式,一度引起广大用户的恐慌也让网络安全工作者高度重视,360对“微信支付”的及时高效响应” 勒索软件无疑是一场与勒索软件的成功战斗,提振了开发者和用户的信心。

© 版权声明
THE END
喜欢就支持一下吧
点赞88 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片