微信勒索病毒全纪录,易语言的灰色世界

你要相信,这世界上总有那么一种人,自己没想火,却一夜之间火得妈都不认识。比如参加选秀就是为了2000块钱+盒饭的杨超越。

《微信勒索病毒全纪录,易语言的灰色世界》

病毒的世界亦是如此。黑鸟博客 guihet.com

前些天,有一个病毒用一种混不吝的姿势冲进了所有人的视野,冲进了百度的热搜榜首。它的名字叫“微信支付勒索病毒”。搞得微信慌忙出来发声明。

就在第二天,又有一个病毒用同样混不吝的姿势冲到了百度热搜榜首。它的名字叫“支付宝病毒”。搞得支付宝又跑出来发声明。

奇葩的是,吃瓜群众研究了一圈儿,发现“微信病毒”和“支付宝病毒”竟然是同一个病毒……

《微信勒索病毒全纪录,易语言的灰色世界》

连支付宝都懵逼了,发了个微博求助

不能更奇葩的是,如果按照瓜友这种命名规则,这个病毒实际上应该叫:“微信支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

听上去真是一个要上天的病毒啊,作者肯定是个“密室SM中华田园风骚铁骨我擦嘞闹不住侠”吧?

然鹅,就在大家一脸懵逼的时候,群众们已经扒出了病毒作者的姓名、生日、手机号等等全部身份信息。

他居然是一个整天对着电脑,每天 LOL 的96年小鲜肉。

姓名:罗思泳
邮箱:1790749886@qq.com
手机:17198899445(同微信)
百度云:qq1790749886 黑鸟博客 guihet.com

生日:19960417

病毒作者信息见此:

说实话,中哥自认见多识广,看到这些剧情都慌得一批。为了搞清事实的真相,我专门去拜访了一位好盆友,他就是 360 安全卫士的安全专家王亮。

《微信勒索病毒全纪录,易语言的灰色世界》

听亮哥讲完故事的来龙去脉,整个过程我眼睛都没眨。这时我才确认,这个瓜比想象中狗血一百倍。

这是一个有中国特色的勒索故事。

一、究竟谁感染了“微信勒索病毒”——羊毛党的起义

2018年12月1号,这天是周六,北京笼罩在“香醇”的雾霾中。

亮哥宅在家,通过电脑监控着世界各地的病毒动向。

突然,“哔哔哔哔哔哔”,后台的申诉系统弹出几十封告警。亮哥高呼一声“纳尼”。

这个系统相当于用户的“求救信号”。一般情况下,它是很安静的,除非用户觉得有些重大病毒漏掉了,才会拼命向专家团队发出“求救信号”。

亮哥一看,事有蹊跷。这几十封邮件,全都在投诉一个问题——自己电脑上的文件被莫名其妙的病毒加密了。更雷的是,居然弹出一个微信收款码,说是只要110块,就能帮你解密文件。

《微信勒索病毒全纪录,易语言的灰色世界》

看到这个,亮哥有点凌乱。他的凌乱集中于两点:

第一、用微信支付码做勒索,跟在派出所里抢劫没啥区别。警察一查微信的实名认证就能破案,这属于典型的“自杀式勒索”,说明作者智商捉急。

第二、林子大了什么鸟都有。虽然用微信、支付宝作为收款途径的勒索病毒,亮哥也不是没见过,但那些病毒一般都制作得非常劣质,还没等传播呢,就被各种杀软直接秒掉。这个病毒居然不知为何能“逃”过监控,说明作者相当厉害。

那么问题来了:这不科学啊,病毒的作者究竟是聪明还是傻呢?

按照规矩,亮哥团队挨个联系用户,询问他们究竟发生了神马,然后尝试远程帮助他们排查电脑的问题。

查了一圈,亮哥更困惑了。几乎所有人电脑里都安装了型号不一的“薅羊毛程序”和“外挂程序”,而这些薅羊毛程序明明被杀毒软件报毒了,却又被用户强制拉回了信任白名单里。

比如像这样薅京东羊毛的:

《微信勒索病毒全纪录,易语言的灰色世界》

还有这样的:

《微信勒索病毒全纪录,易语言的灰色世界》

还有这样辅助拼多多发货的:黑鸟博客 guihet.com

《微信勒索病毒全纪录,易语言的灰色世界》

把薅羊毛和外挂程序拿过来一看,果然就是他们,偷偷从网上下载了带有勒索功能的病毒木马,也就是那个“微信支付勒索病毒”。

问了一圈,亮哥才明白,原来这些薅羊毛程序,本来就是天天在法律的边缘疯狂试探,杀毒软件经常会把它们判断为病毒。于是羊毛党们下载了薅羊毛程序,第一件事就是顺手把它们拉进白名单里,告诉杀软:“自家兄弟,有话好说。”

这回可好,带着勒索病毒的薅羊毛程序也被归为自家兄弟,杀毒软件被用户“强制旁观”,文件都被加密了。

(当然,很多带病毒的薅羊毛程序并没有被用户拉进白名单,它们都顺理成章地被杀毒软件干掉了,电脑也不会被加密勒索,这些不在今天的故事里。)

文件被加密了之后什么样呢?就是下面这样:

《微信勒索病毒全纪录,易语言的灰色世界》

亮哥给我截了个图,展示的就是文件被加密以后,所有的 txt、docx、jpg 都打不开,打开也是乱码。

二、你知道病毒作者有多努力吗?

说了半天,“羊毛党的起义”原来是一场大型乌龙,是他们自己把病毒放行的。但事情已经发生了,现在重要的问题在于:已经被病毒加密的电脑,有没有办法抢救回来呢?

接下来我们来研究一下这个病毒。注意,这个病毒是个“勒索病毒”,勒索病毒是有尊严的。

一般情况下,勒索病毒会调用 Windows 内部的加密机制,三行代码搞定,锁死你电脑上的文件,再厉害的密码专家都解不开。

这个“微信支付勒索病毒”就厉害了,作者自己写了一个几百行的代码,仿佛用尽了毕生的气力来书写一个你永世都难以解开的谜题。

然鹅,这个加密程序却用了作者自创的“民科加密法”,只需要用工具稍微一算就能解开。

哭笑不得的亮哥定睛一看,不对啊!

这个加密算法,运行一次是加密的效果。如果运行两次,也就是加密的基础上再加密,代码又会变成和加密之前一模一样。就像一枚硬币,翻一次看到背面,翻两次还是正面朝上。(注意,实现反转的话,病毒程序的代码要做微调,小白勿试,后果自负。)

已经生无可恋的亮哥又定睛一看,还是不对啊。

加密之后的秘钥,就静悄悄地躺在硬盘上。这大概就像:你用一把锁把人家的家门给锁上,然后把钥匙放在门下的脚垫里……然后大摇大摆地说“打钱”。

《微信勒索病毒全纪录,易语言的灰色世界》

Key文件就存在硬盘里

怎么说呢,病毒代码的每一行,都能透出作者的不甘平庸,但是最终的效果只能证明,作者尽力了。

12月1号晚上,亮哥把病毒分析报告传给一位同事,让他去开发一套“专杀工具”。工具当然不太复杂,同事熬了一夜,第二天早晨就把专杀工具提交上线,这个不在话下。

再回头看亮哥,既然知道病毒造成的一切破坏都有办法还原,基本就放心了。接下来,他准备带着兄弟们去追查一下这个病毒的作者究竟是何方神圣。

三、微信、支付宝以及十大互联网公司躺枪

讲真,病毒界和我们人类世界一样,也能分出三六九等:

如果病毒作者买很多服务器,然后把病毒放在里面,诱骗其他电脑来访问,那么这就属于“病毒界的王思聪”

如果病毒作者只是黑了人家的服务器,然后偷偷地“借用”人家的服务器来传播病毒,那这就是“病毒界的屌丝”

今天这位“微信勒索病毒”属于哪种呢?它称得上是“屌丝中的战斗丝”

直接说原理。把大象装冰箱分三步,这套病毒的工作原理,也分三步:

第一步:用户下载了薅羊毛程序之后,这个程序会偷偷“逛豆瓣”。

是的,你没看错,这个薅羊毛程序就是会访问豆瓣。当然,它并不是文艺小清新,而是从豆瓣的一个网页里读取攻击指令。

就是这个网页了,原贴已被删,感谢百度快照:黑鸟博客 guihet.com

《微信勒索病毒全纪录,易语言的灰色世界》

本来被用来写影评的地方,写了这么一堆乱码,程序读了它,就接受到了一个指令,去哪里下载什么东西。

第二步:“逛豆瓣”之后,它会去“逛QQ空间”。

豆瓣页面里的指令,指向一个 QQ空间。在这个QQ空间里,有张小女孩的图片。这不是一个普通的小女孩,你看,它的分辨率只有530*456,但是它的文件大小却有6.98MB。

《微信勒索病毒全纪录,易语言的灰色世界》

因为在这个图片背后,贴着一个“下载器”,可以访问指定的地址下载另一个程序。

《微信勒索病毒全纪录,易语言的灰色世界》

把这张图片解压之后,能解出这么一堆文件

这个指定的地址是哪里呢?还是豆瓣……去豆瓣干什么呢?还是跳到QQ空间找另一个“下载器”。就这么循环了三次,下载了一堆形态各异的“下载器”。终于,最后一个“下载器”把剧情推进到了第三步。

第三步:下载勒索病毒。

最后一个“下载器”,终于从QQ空间里拿回了两样东西:这第一样我们等下再说,这第二样就是勒索病毒本尊。后面的故事就是把用户电脑上的文件加密,然后弹出微信支付二维码,大家都知道了。

《微信勒索病毒全纪录,易语言的灰色世界》

以防你没明白,中哥画张图。简单来说就是薅羊毛程序下载了一串“下载器”,最后一个“下载器”下载了勒索病毒。

你看,整个勒索流程下来,它把恶意指令藏到豆瓣,把恶意程序藏到QQ空间,自己不仅连个服务器都不用买,而且连服务器都不用偷。

直接利用豆瓣和QQ空间的免费服务,黑客攻击的成本是:零。

听到这,中哥已经跪服了。这个病毒的作者肯定是个勤俭持家的好孩子。每勒索一票赚110块,都是净利润啊。

主线剧情进行到这,又出现了一个支线剧情。

那就是我们刚才卖的关子,最后一个“下载器”从QQ空间拿回了两样东西,除了勒索病毒,另一个是神马呢?

没错,就是用来记录用户密码的程序。

问:它都可以用来记录什么密码呢?

答:支付宝、京东、网易163邮箱、微博、百度云盘、QQ网页版、天猫、旺旺、酷狗、迅雷。

其中,支付宝的安全做得最好。一般情况下,用户在支付宝页面输入密码的时候,支付宝会探测有没有程序在偷偷记录密码。所以,为了绕过支付宝的检查,黑客在支付宝的网页上生成了一个一模一样的窗口,盖住原本的密码框,骗用户输入密码。

这就是为神马到了第二天,这个病毒又被称为“支付宝病毒”的原因了。

至此,微信和支付宝躺枪的过程叙述完毕。

这个病毒之所以被叫做“微信勒索病毒”,是因为它通过微信支付勒索钱财。

这个病毒之所以被叫做“支付宝病毒”,是因为它试图盗取用户的支付宝密码。

然鹅,平心而论,这个病毒并没有只盗取支付宝的密码啊。如果它盗取谁的密码就用谁命名的话,这个病毒应该叫做“支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

那么这个病毒究竟盗取了多少人的账号和密码呢?卖个关子,最后会揭晓。

我们继续顺着病毒追查。既然已经得知这么多信息,接下来就可以试着寻找病毒作者究竟是谁了。

四、病毒作者浮出水面

事到如今,你已经能体会这位病毒作者童鞋的风格了:虽然他“破腚”百出,但只要你留心,总能找到更奇葩的“破腚”。

刚才我们说过。那个薅羊毛程序并不是把“微信勒索病毒”下载下来,而是在之前下载了一些“下载器”,再由“下载器”把“勒索病毒”下载下来。

好的,奇葩的破绽就出在这些“下载器”上。

为了严谨,多说一句。分析了一下在真正病毒被下载之前的五个“下载器”,亮哥发现,这些下载器的代码风格和最后的病毒是一致的。这证明,“下载器”和最终病毒的作者是一个人。

在其中一个下载器里,作者竟然留下了自己的GitHub地址,而这个地址可就厉害了,用户名直接是“qq1790749886”。我读书少,但怎么看这都是一个QQ号吧。而在页面里他还留下了一串字符:LSY19960417。

我读书少,但这分明就是一个名字的缩写和生日好不好……

《微信勒索病毒全纪录,易语言的灰色世界》

不用你们动手,中哥替你们搜了一下这个QQ号。

1996年,还是个白羊座……听说白羊座做事冲动,星象大师诚不我欺啊。

亮哥说,他刚开始搜到这个QQ号的时候,对方的签名还写着:“收徒,老湿傅带你写外挂。2300包教包会!”(当然现在已经改了)

而有一位叫做“雕哥”的热心网友,好奇加了他的QQ,他居然还没意识到发生了什么,要继续去打LOL。

《微信勒索病毒全纪录,易语言的灰色世界》

《微信勒索病毒全纪录,易语言的灰色世界》

当然,即使是一个病毒作者,中哥也并不提倡人肉他。不过实际上,这些信息被公开之后,广大网友已经把这位小哥的具体姓名人肉到了。具体的信息这里就不写了,我们暂且把他称为 LSY 吧。

至此,黑客在安全人员眼中已经遭遇了史诗级的溃败。黑鸟博客 guihet.com

说到这,你一定想知道,这位黑客老湿傅究竟赚了多少钱。

当然,这个账号具体的收款详情,只有微信支付才掌握,他们并不会公布。但亮哥回忆了一个有趣的细节。

最开始亮哥接到“报警”之后,确实有一个受害者说,他已经扫码支付了110块,然后就没有然后了。

经过逆向这个病毒程序之后,亮哥发现程序根本就没那么智能,这边付过去110块,那边的LSY老湿根本不知道是谁付的钱,又怎么能帮你解锁呢。

而在亮哥尝试扫那个微信支付码的时候,这个码已经失效,因为被举报了……

《微信勒索病毒全纪录,易语言的灰色世界》

怎么说呢,很可能那个付款的受害者是第一个交赎金的,也是最后一个能交进去赎金的。这个故事告诉我们:下次遇到微信支付勒索,交智商税要趁早。磨蹭半个小时,想送钱都送不进去了。

故事讲到这里,还有一个最大的疑团没有解开,那就是:LSY老湿傅,究竟是如何把那一整套“下载病毒的指令”塞进几十款薅羊毛程序里的呢?

你可能猜不到,解开这个谜团的同时,我们顺便又打开了一个新世界的大门。

五、神秘的组织:易语言

一个神奇的事实浮出水面:

所有传播这个勒索病毒的薅羊毛、外挂程序,都有一个惊人的特点,那就是——他们都是用“易语言”编写的。

你可能会好奇,纳尼?我听说过 C 语言、PHP、Java,啥叫易语言?

实话实说,中哥在一天以前,也不知道神马是易语言。

给你两张易语言编程界面你体会一下:

《微信勒索病毒全纪录,易语言的灰色世界》

《微信勒索病毒全纪录,易语言的灰色世界》

再来一张人们学习易语言的场景:

《微信勒索病毒全纪录,易语言的灰色世界》

你应该有感觉了。易语言是一个纯中文的编程界面,对于广大没有计算机背景,但是却热爱编程的人士“相当友好”。

如果说C语言是任天堂的红白机的话,那么易语言就是——小霸王学习机。

可能你猜不到,易语言在中国有着庞大的使用群体。而在易语言的粉丝中,有一个颇为有名的论坛——精易论坛。

给你看下精易论坛的感觉:

《微信勒索病毒全纪录,易语言的灰色世界》

我为什么要花这么多时间来说易语言呢?因为整个“微信勒索病毒”事件,其实都只发生在易语言的世界里。事情是这样的:

1、LSY老湿傅,是一个狂热的易语言爱好者,曾经用易语言做了一些有用的小工具,发在了精易论坛上。

2、2018年早些时候,LSY老湿傅动了歪心,他发布了一个带有病毒的小工具,但是很快被细心的网友发现了,回帖说你这个里面有病毒啊。老湿傅羞赧无比,决定回去再苦练几个月。

3、在2018年11月15号,老湿傅重出江湖,在精易论坛发表了一个新的小工具“小型软件在线更新方法”。这是一个易语言编程的插件。而这个插件里面,就被LSY老湿傅植入了“下载器”的恶意代码。

这个恶意代码可就厉害了,它感染的是易语言的编程程序。

也就是说,一旦下载过这个插件,用它编出来的程序,都是偷偷带有“下载器”功能的,软件作者并不知情。而这个“下载器”能用来下载什么,就是LSY老湿傅说了算了。黑鸟博客 guihet.com

于是,LSY通过感染“编程语言母体”的方式,让母体编写出来的一切程序都天然带有病毒。就像那些可怕的基因疾病一样,如果母亲具有患病基因,那么孩子也会天然带有这种疾病。

于是,一场可怕的病毒扩散就此开始。

六、一场华丽的当众“裸奔”

讲真,这种攻击母体的方法,在黑客界已经非常出名。甚至它还有一个名字,叫做“软件供应链攻击”。

这种攻击非常有效,扩散起来非常迅速。但是真正的成熟黑客,一般不会选用这种攻击方式,原因是神马呢?

没错,就是控制不住事态。

病毒干的这些事,盗取信息、勒索,本来应该是低调进行的。这就像抢劫团伙,本来应该夜黑风高之时在僻静的小胡同里,堵住一个弱小的姑娘要钱。没听说过哪个抢劫团伙到王府井地铁站,每人把守一个出口,站在安检旁边挨个要钱的。

《微信勒索病毒全纪录,易语言的灰色世界》

但是,感染母体软件之后,病毒作者是没办法控制其他人用这些母体编写多少新程序出来的,病毒作者也没办法控制这些新编出来的带毒软件究竟会有多火,会有多少人使用。

这就像你打台球的时候,把白球直接打进洞很容易,但是用白球撞彩球进洞就更难控制准星。如果你能让五颗球连续撞击最后进洞,那你就是世界级选手了。

换句话说,就像一个小孩子扛起了火箭炮,他对接下来发生的事情根本无法控制。

《微信勒索病毒全纪录,易语言的灰色世界》

这样一看,一切就都明白了:

“微信勒索病毒”,本来就是LSY老湿傅想要小范围传播的勒索软件,于是根本都没做什么伪装,还用了微信支付码。估计在他心里,预计这个病毒会感染几十人,然后其中十个人付赎金,赚个一千多块钱完事。

没想到,中国人民对于薅羊毛这件事情过于热衷,导致几万人使用了带毒的薅羊毛程序,超出了他的预料,直接惊动了中国几大杀毒软件。

事实也证明,病毒从开始传播到各大安全厂商剿灭,总共用了半天时间。但LSY老湿的蠢萌和法律意识不足,生生把一个低调的勒索病毒变成了天安门广场大型“裸奔”现场。

就这样,他从一个默默收徒的小黑客,摇身一变成了两天之内用两种姿势连续攻占百度搜索头条的男人。

事情曝光之后,LSY的豆瓣页面上的最后一条攻击代码也被他换掉了,只有一行字:

《微信勒索病毒全纪录,易语言的灰色世界》

看到这里,一种复杂的心情涌上我心头。年轻总会犯错误,但有时我们为年轻付出的代价,也许过于沉重。

以上一切信息,亮哥都在第一时间同步给了警方。从公开信息看,各大安全厂商也都把自己掌握的信息交给了警方。

就在2018年12月6日晚上,微博“平安东莞”发布了一条消息。没错,LSY老湿傅落网了。

《微信勒索病毒全纪录,易语言的灰色世界》

根据警方的信息,罗某某涉嫌利用自制病毒木马入侵用户计算机,非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条,全网已有超过10万台计算机被感染。

亮哥给我讲的故事,到这里就告一段落了。

但是回顾整个事件,我发现它的每一个环节,都只能发生在中国。

从只有中国人才用的“小霸王学习机”易语言,到中国特色的薅羊毛软件,到通过豆瓣和QQ空间进行病毒投放,到微信支付收勒索款,再到这个22岁的青年所思考的一切。

在忙碌的人群背后,有一个庞大的群体,大多数时候他们沉默着,在角落里按照自己的“规则”生存着。

他们之中,有的人赚尽荣华,坐拥香车美女;他们之中,也有人四处挣扎,幻想致富良方。

偶尔,他们中的一员被甩到舆论的中心,被人嬉笑品评,然后黯然退场。

他们,像是中国的影子。​​​​

作者信息及其病毒分析

前几日,一款″微信支付″勒索病毒被火绒安全揪了出来,通过对相关文章的分析,大体得知这位仁兄的资料如下:

姓名:罗思泳
邮箱:1790749886@qq.com
手机:17198899445(同微信)
百度云:qq1790749886
生日:19960417
百度主页:https://zhidao.baidu.com/usercenter?uid=fa0d4069236f25705e793029
《微信勒索病毒全纪录,易语言的灰色世界》

《微信勒索病毒全纪录,易语言的灰色世界》

=================================
以下是火绒安全揪出病毒作者的过程:黑鸟博客 guihet.com

=================================

《微信勒索病毒全纪录,易语言的灰色世界》

​​​12月1日,首个要求”微信支付”赎金的勒索病毒在国内爆发,根据”火绒威胁情报系统”监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。根据火绒团队的分析、溯源,该病毒使用”供应链污染”的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的”易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是”薅羊毛”类灰色软件。

《微信勒索病毒全纪录,易语言的灰色世界》

图:部分被感染软件火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。

《微信勒索病毒全纪录,易语言的灰色世界》

图:被盗取的登录信息数据统计信息此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件。经过进一步分析,火绒团队发现所有相关信息都指向同一主体–姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。12月1日该病毒爆发后,”火绒安全软件”当天升级查杀,火绒团队连夜制作了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。广大用户无需担心,使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系火绒团队尝试解密。

《微信勒索病毒全纪录,易语言的灰色世界》

火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。 附详细分析报告数据分析火绒前期报告中写道,Bcrypt勒索病毒通过供应链污染的方式正在进行大范围传播,病毒会借助被感染的易语言编译环境为跳板,之后病毒会通过从被感染环境编译出的易语言程序在互联网中大范围扩散。通过火绒近期对感染数据的追踪,我们整理出了大量受影响的易语言程序。此类受影响的易语言程序众多,其中还包含有一些易语言程序下载平台(如:万软平台、赚客吧等)。易语言开发人员开发环境被感染后,编译出带毒的易语言程序,再上传到各大程序下载平台上供用户下载,从而使病毒在更广的范围内进行传播,请使用过类似易语言程序的用户及易语言相关开发人员下载火绒安全软件进行自查。受影响最多的易语言程序,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

受影响的易语言程序上述带毒的易语言软件都会成为病毒作者通过C&C网址链接操控的下载器病毒,从而下载执行其他恶意代码。被下载的恶意程序多为”白加黑”恶意病毒,前期报告中仅对感染量较大的libcef.dll病毒模块进行了分析,但此类病毒模块名种类其实还有很多。黑鸟经过火绒的分析整理,可以直观显示病毒利用不同模块名执行恶意行为的相关情况。由于很多病毒文件名不具有实际意义,统计时以pdb名称为准,如:AutoinitApp_x64.pdb.dll。此类病毒模块名,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

病毒模块名列表各个病毒模块名所占感染终端数量占比,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

各个病毒模块名所占感染终端数量占比图上述病毒模块包含有多种不同的病毒恶意行为,如:勒索加密、盗取用户账户登录信息等。通过火绒对病毒服务器数据进行分析整理,病毒作者会收集以下几类信息,且每类信息与终端ID一一对应:1.终端ID2.系统版本信息、当前系统登录用户名、系统登录时间3.CPU型号4.屏幕分辨率5.IP及所属运营商信息6.软件安装信息7.安全软件进程信息8.网购账户登录信息、邮箱登录信息、QQ号登录信息、网盘登录信息等截至目前,病毒作者共盗取登录信息共计22442条。相关数据统计分析后,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

被盗取得登录信息数据统计信息溯源分析根据前期报告中写道,病毒代码中的github链接(hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt),我们找到了病毒作者的github主页(hxxps://github.com/qq*6/ja*et),从中发现了病毒作者的提交记录。如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

病毒作者提交信息在提交记录中,我们切换到”d1889a4a0ceb7554982d7a924ecebe23200da94″提交记录中,我们发现在本次提交中有一个名为”new 1 – 副本.txt”的BMP图片文件。图片内容,如下图所示:黑鸟博客 guihet.com

《微信勒索病毒全纪录,易语言的灰色世界》

图片文件内容如上图红框内代码,此时疑似病毒作者正在调试屏幕截取相关病毒功能。在任务栏中红框所示项目,我们可以看到病毒相关的一些工程正在被编辑,并得到一个疑似病毒作者的姓名,通过该姓名我们找到了相应的百度知道首页(hxxps://zhidao.baidu.com/question/11*0859)。如下图所示: 黑鸟博客 guihet.com

《微信勒索病毒全纪录,易语言的灰色世界》

百度知道首页该百度知道页面中,我们找到了两款与该作者相关的软件:”lsy资源助手“和”LSY经典闹铃v1.1″,这两个软件包含有作者的QQ信息和作者姓名的缩写(Mr.l.s.y)。”LSY经典闹铃v1.1″由于未知原因无法运行,”LSY经典闹铃v1.1″相关数据信息,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

“LSY经典闹铃v1.1″相关数据信息”lsy资源助手”运行截图,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

“lsy资源助手”运行截图在上述字符串信息中,我们可以看到阿里旺旺账号名l******6,其中lsy刚好符合”罗**”的汉语拼音缩写。通过我们搜索阿里旺旺用户名,我们找到相关用户信息,发现该账户确实与2*********@qq.com相关QQ号存在联系。相关阿里旺旺账户信息,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

账户信息根据火绒截获的病毒样本,可以发现其中一个恶意URL “http://www.my***********.top/adcheatReserved/gx.html”,通过查询https://whois.icann.org/zh/lookup?name=www.my***********.top进行域名反查。我们获得了更多域名注册者的信息,如下图所示:

《微信勒索病毒全纪录,易语言的灰色世界》

病毒作者相关信息我们发现,在前面溯源中找到的QQ邮箱(1790749886)和手机号(17*******45)同时在上述信息中出现。我们再以”LSY经典闹铃v1.1″软件中出现的另一个QQ邮箱号”29*****@qq.com”作为线索,在支付宝使用”忘记密码”方式获得相关手机号,对比前文中出现的手机号,也有极高的相似度。相关信息,如下图所示:黑鸟博客 guihet.com

《微信勒索病毒全纪录,易语言的灰色世界》
密码找回页面信息另外,在之前对Bcrypt病毒家族样本的分析过程中,曾多次在病毒服务器数据库密码以及解密代码等处出现19*****7的数字序列,不排除该数字序列为病毒作者生日的可能性。综上所述,上述信息均指向同一个主体,相关信息如下:姓名:罗**QQ号:1790749886,手机号:1********45生日(疑似):19**年*月*7日 附录火绒收集到的部分受感染易语言程序名,如下图所示:黑鸟博客 guihet.com

《微信勒索病毒全纪录,易语言的灰色世界》

​​​黑鸟想说一句:真6。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

  1. sixsense sixsense 说道:

    虽然离开IT行业很多年,连调库都忘光光了,但是大晚上的看到这篇还是笑开了花。。 看来格子衬衫牛仔裤已经植入自己基因了 :lol: