近日,有用户反馈遭遇勒索病毒,电脑文件被病毒加密,攻击者要求用户微信支付110元解密,这是首起不使用比特币,而要求微信支付的勒索病毒事件。目前,攻击者的微信账户和收款二维码已经被腾讯封禁。
12月4日,根据火绒透露,“微信支付”勒索病毒正快速传播,截至12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长,除了加密用户电脑文件外,还大肆窃取支付宝等密码。该病毒是通过攻击软件开发者的电脑,感染其用以编程的“易语言”中的一个模块,导致开发者所有使用“易语言”编程的软件均携带该勒索病毒。广大用户下载这些“带毒”软件后,就会感染该勒索病毒。整过传播过程很简单,但污染“易语言”后再感染软件的方式却比较罕见。
病毒代码依靠“白加黑”方式被调用,用于调用病毒代码的是带有有效腾讯数字签名的白文件,由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。
值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。不过,仍然建议使用“易语言”模块的开发者尽快进行病毒查杀,普通用户应尽量从正规渠道下载软件。正规的软件开发者在软件发布前进行全面的安全检查,并使用代码签名证书对软件进行数字签名,防止软件被勒索病毒恶意篡改。
网友评论