360对“微信支付”勒索病毒的发展历程进行进一步的深入分析

中新网，12 月 4 日。 12月1日，以豆瓣为C&C服务器进行攻击的UNNAMED1989勒索病毒爆发。该病毒以“易语言开发环境”为媒介实现快速传播，也被称为“微信支付”勒索病毒，因为它直接用微信扫码代替了以往通过数字货币兑换的支付方式。

360安全中士微信早在12月2日凌晨就发布了UNNAMED1989勒索病毒的传播情况及初步分析结论。目前，360安全卫士已经能够有效拦截勒索软件攻击。然而，“微信支付”勒索病毒暴露的黑客新攻击方式却引起了用户的广泛关注。对此，360对该勒索软件的发展过程进行了进一步深入分析。

黑客成长史——从秘密尝试到公开传播

据360调研跟踪勒索病毒源码，“微信支付”勒索病毒的作者不仅精通PC开发和移动端开发，还掌握了多种编程语言。早在2017年4月，他就开始尝试传播“普通源码+毒模块”。

2018年4月，作者开始尝试投毒工程项目勒索病毒源码，当时使用Github存储远程控制信息。

2018年下半年，笔者开始使用豆瓣发布控制指令。从豆瓣日记可以看出，9月30日开始调试。

从10月份开始，作者开始尝试通过“分享源码”的方式通过论坛进行传播。

11月13日，作者开始在论坛上散布带有恶意代码的所谓“恶搞代码”。这也是首次公开传播感染用户电脑的恶意代码。同日招募了易语言部分开发者。

11月15日，作者在易语言开发者论坛上进一步传播此恶意代码。

11 月 15 日，第一个受感染的应用程序开始在互联网上传播。

11月19日，20多个应用程序被篡改，恶意程序开始在互联网上传播。

11月底，恶意模块被举报，论坛管理员发现问题，并删除了传播源。

360反击——从发现到速杀

2018年11月30日，“微信支付”勒索病毒的作者开始散布“无名勒索”软件。

12月1日，360安全卫士发布安全警告，提醒用户及时查杀木马。

12月2日，360安全卫士率先发布解密工具，支持对unnamed1989勒索病毒的解密。

12月3日，360安全卫士发布勒索软件回顾性分析，分析勒索软件的来源和传播方式，提醒用户注意。

12月4日，360支持检测查杀被病毒感染的易语言开发环境。

需要注意的是，根据360的分析，“微信支付”勒索软件的攻击者不仅在受害者的机器上植入了勒索软件，还植入了盗号木马。这些恶意程序会被注入到合法进程中运行并具有更新功能。更新地址是通过获取攻击者豆瓣主页上的字符串获取的，植入受害者电脑的恶意程序会根据情况变化。

由此可见，“微信支付”勒索软件攻击是一个持续不断、不断跳跃的过程。再加上“供应链污染”的蔓延和微信扫码支付方式，一度引起广大用户的恐慌也让网络安全工作者高度重视，360对“微信支付”的及时高效响应” 勒索软件无疑是一场与勒索软件的成功战斗，提振了开发者和用户的信心。