qq文件失效怎么办
案发经过
近日,一款利用微信二维码支付的新型勒索病毒在互联网传播,群众关注度高,病毒危害造成广泛恶劣影响。
12月4日18时许,东莞网警支队接省公安厅网警总队通报称,腾讯公司举报,东莞一名男子向多个计算机信息系统传播病毒木马,锁定目标系统文件,利用微信支付勒索钱财后解锁。
获悉省厅网警总队下发线索后,东莞网警ESwCVDfVTf快速反应,立即启动网络安全事件应急处置预案,调集骨干警力,对涉案线索开展排查,于12月4日22时准确摸排出嫌疑人真实身份为罗某某(男,22岁,广东茂名人),其主要在我市东坑镇活动。12月5日凌晨,东莞网警联合东坑分局连夜展开抓捕行动,经十小时连续奋战,于15时将嫌疑人罗某某抓获。
12月4日晚间消息,火绒团队表示,通过对“微信支付”赎金的勒索病毒数据的分析发现,所有相关信息都指向同一主体——姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。
12月1日,首个要求“微信支付”赎金的勒索病毒在国内爆发,根据“火绒威胁情报系统”监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。
根据火绒团队的分析、溯源,该病毒使用“供应链污染”的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是“薅羊毛”类灰色软件。
火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。
此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件。
经过进一步分析,火绒团队发现所有相关信息都指向同一主体——姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。
12月1日该病毒爆发后,“火绒安全软件”当天升级查杀,火绒团队连夜制作了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。广大用户无需担心,使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系火绒团队尝试解密。
火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。
下面看看火绒安全的样本分析:
一、样本分析
近期,火绒追踪到使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt在12月1日前后大范围传播,感染用户数量在短时间内迅速激增。通过火绒溯源分析发现,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒传播是利用供应链污染的方式进行传播,病毒运行后会感染易语言核心静态库和精易模块,导致在病毒感染后编译出的所有易语言程序都会带有病毒代码。供应链污染流程图,如下图所示:
供应链污染流程图
编译环境被感染后插入的恶意代码,在易语言精易模块中被插入的易语言恶意代码,如下图所示:
精易模块中的恶意代码
在被感染的编译环境中编译出的易语言程序会被加入病毒下载代码,首先会通过HTTP请求获取到一组加密的下载配置,之后根据解密出的网址下载病毒文件到本地执行。如上图红框所示,被下载执行的是一组”白加黑”恶意程序,其中svchost为前期报告中所提到的白文件,svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相关代码,如下图所示:
下载病毒文件相关代码
病毒代码中请求网址包含一个豆瓣链接和一个github链接,两者内容相同,仅以豆瓣链接为例。如下图所示:
请求到的网页内容
上述数据经过解密后,可以得到一组下载配置。如下图所示:
被解密的下载配置
解密相关代码,如下图所示:
解密代码
通过配置中的下载地址,我们可以下载到数据文件,数据文件分为两个部分:一个JPG格式图片文件和病毒Payload数据。数据文件,如下图所示:
数据文件
libcef.dll
libcef.dll中的恶意代码被执行后,首先会请求一个豆瓣网址链接(https://www.douban.com/note/69*56/)。与被感染的易语言编译环境中的病毒插入的病毒代码逻辑相同,恶意代码可以通过豆瓣链接存放的数据,该数据可以解密出一组下载配置。解密后的下载配置,如下图所示:
下载配置
下载代码,如下图所示:
下载代码
下载截取后的有效恶意代码数据中,包含有用于感染易语言编译环境的易语言核心静态库和精易模块。除此之外,下载的Payload文件中还包含有一个Zip压缩包,配合在病毒代码中所包含的通用下载逻辑,此处的Zip压缩包可能被替换为任意病毒程序。因为病毒作者使用供应链污染的传播方式,导致相关病毒感染量呈指数级增长。相关代码,如下图所示:
定位Payload压缩包位置回写文件
通过筛查豆瓣链接中存放的加密下载配置数据,我们发现在另外一个豆瓣链接(https://www.douban.com/note/69*26/)中存放有本次通过供应链传播的勒索病毒Bcrypt。下载配置,如下图所示:
下载配置
我们在病毒模块JPG扩展名后,用”_”分割标注出了勒索病毒被释放时的实际文件名。最终被下载的勒索病毒压缩包目录情况,如下图所示:
勒索病毒压缩包目录情况
二、病毒相关数据分析
火绒通过病毒作者存放在众多网址中的加密数据,解密出了病毒作者使用的两台MySQL服务器的登录口令。我们成功登录上了其中一台服务器,通过访问数据库,我们发现通过该供应链传播下载的病毒功能模块:至少包含有勒索病毒、盗号木马、色情播放软件等。
我们还在服务器中发现被盗号木马上传的键盘记录信息,其中包括:淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等共计两万余白熊资讯网条。
我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据,通过仅对一台服务器数据的分析,我们统计到的病毒感染量共计23081台(数据截至到12月3日下午)。
日均感染量,如下图所示:
日均感染量
感染总量统计图,如下图所示:
感染总量
现火绒已经可以查杀此类被感染的易语言库文件,请装有易语言编译环境的开发人员下载安装火绒安全软件后全盘扫描查杀。
三、附录
样本SHA256:
sorry!---太年轻了!浅黑科技史中也做了详细分析——
你要相信,这世界上总有那么一种人,自己没想火,却一夜之间火得妈都不认识。比如参加选秀就是为了2000块钱+盒饭的杨超越。
病毒的世界亦是如此。
前两天,有一个病毒用一种混不吝的姿势冲进了所有人的视野,冲进了百度的热搜榜首。它的名字叫“微信支付勒索病毒”。搞得微信慌忙出来发声明。。。
奇葩的是,就在第二天,又有一个病毒用同样混不吝的姿势冲到了百度热搜榜首。它的名字叫“支付宝病毒”。搞得支付宝又跑出来发声明。。。
最奇葩的是,吃瓜群众研究了一圈儿,发现“微信病毒”和“支付宝病毒”竟然TMD是同一个病毒。。。
连支付宝都懵逼了,发了个微博求助。。。
不能更奇葩的是,如果按照瓜友这种命名规则,这个病毒实际上应该叫:“微信支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”。。。
听上去真是一个要上天的病毒啊,作者肯定是个“密室SM中华田园风骚铁骨我擦嘞闹不住侠”吧?
然鹅,就在大家一脸懵逼的时候,群众们已经迅雷不及掩耳盗铃地扒出了病毒作者的姓名、生日、手机号等等全部身份信息。
他居然是一个黏在电脑前面每天 LOL 的1996年小鲜肉。。。
说实话,中哥自认见多识广,看到这些剧情都慌得一批。
为了搞清事实的真相,我专门去拜访了一位好盆友,他就是 360 安全卫士的安全专家王亮。
听亮哥讲完故事的来龙去脉,整个过程我眼睛都没眨。。。这时我才确认,这个瓜比想象中狗血一百倍。
这是一个《有中国特色的勒索故事》……
究竟谁感染了“微信勒索病毒”——羊毛党的起义
2018年12月1号,亮哥一看,事有蹊跷。这几十封邮件,全都在投诉一个问题——自己电脑上的文件被莫名其妙的病毒给莫名其妙地给加密了,更雷的是,居然弹出一个微信收款码,说是只要110块,就能帮你解密文件。。。
推荐使用微信支付,讲究。
看到这个效果,亮哥有点凌乱。他凌乱在两点:
第一、用微信支付码做勒索,跟在派出所里抢劫没啥区别。警察一查微信的实名认证就能破案,这属于典型的“自杀式勒索”,说明作者智商捉急……
第二、林子大了什么鸟都有。虽然用微信、支付宝作为收款途径的勒索病毒,亮哥也不是没见过,但那些病毒一般都制作得非常劣质,还没等传播呢,就被各种杀软直接秒掉。这个病毒居然不知为何能“逃”过安全卫士的监控,说明作者相当厉害。。。
那么问题来了——这不科学啊,病毒的作者究竟是聪明还是傻呢?
按照规矩,亮哥团队会挨个联系用户,询问他们究竟发生了神马,然后尝试远程帮助他们排查电脑的问题。
查了一圈,亮哥更困惑了。几乎所有人电脑里都安装了型号不一的“薅羊毛程序”和“外挂程序”,而这些薅羊毛程序明明被杀毒软件报毒了,却又被用户强制拉回了信任白名单里。。。
比如像这样薅京东羊毛的↓↓↓
还有这样的↓↓↓
还有这样辅助拼多多发货的↓↓↓
把薅羊毛和外挂程序拿过来一看,果然就是他们,偷偷从网上下载了带有勒索功能的病毒木马,也就是那个“微信支付勒索病毒”。。。
问了一圈,亮哥才明白,原来这些薅羊毛程序,本来就是天天在法律的边缘疯狂试探,杀毒软件经常会把它们判断为病毒,于是羊毛党们下载了薅羊毛程序,第一件事就是顺手把它们拉进白名单里,告诉杀软:“自家兄弟,有话好说。。。”
这回可好,带着勒索病毒的薅羊毛程序,也被归为自家兄弟,杀毒软件被用户“强制旁观”,文件都被加密了。。。
(当然,很多带病毒的薅羊毛程序并没有被用户拉进白名单,它们都顺理成章地被杀毒软件干掉了,电脑也不会被加密勒索,这些不在今天的故事里。)
文件被加密了之后什么样呢?就是下面这样:
亮哥给我截了个图,展示的就是文件被加密以后,所有的 txt、docx、jpg 都打不开,打开也是乱码。
你知道病毒作者有多努力吗?
说了半天,“羊毛党的起义”原来是一场大型乌龙,是他们自己把病毒放行的。但事情已经发生了,现在重要的问题在于:已经被病毒加密的电脑,有没有办法抢救回来呢???
接下来我们来研究一下这个病毒。注意,这个病毒是个“勒索病毒”,勒索病毒是有尊严的。
一般情况下,勒索病毒会调用 Windows 内部的加密机制,三行代码搞定,锁死你电脑上的文件,再厉害的密码专家都解不开。
这个“微信支付勒索病毒”就厉害了,作者自己写了一个几百行的代码,仿佛用尽了毕生的气力来书写一个你永世都难以解开的谜题。
然鹅,这个加密程序却用了作者自创的“民科加密法”,只需要用工具稍微一算就能解开。。。
哭笑不得的亮哥定睛一看,不对!
这个加密算法,运行一次是加密的效果。如果运行两次,也就是加密的基础上再加密,代码又会变成和加密之前一模一样。。。就像一枚硬币,翻一次看到背面,翻两次还是正面朝上。。。。(注意,实现反转的话,病毒程序的代码要做微调,小白勿试,后果自负。)
已经生无可恋的亮哥又定睛一看,还是不对。。。
加密之后的秘钥,就静悄悄地躺在硬盘上。这大概就像:你用一把锁把人家的家门给锁上,然后把钥匙放在门下的脚垫里。。。然后大摇大摆地说,打钱!
第一步:用户下载了薅羊毛程序之后,这个程序会偷偷“逛豆瓣”。。。
是的,你没看错,这个薅羊毛程序就是会访问豆瓣。当然,它并不是文艺小清新,而是从豆瓣的一个网页里,读取攻击指令。
就是这个网页了,原贴已被删,感谢百度快照。。。
本来被用来写影评的地方,写了这么一堆乱码,程序读了它,就接受到了一个指令,去哪里下载什么东西。
第二步:“逛豆瓣”之后,它会去“逛QQ空间”
豆瓣页面里的指令,指向一个 QQ空间,在这个QQ空间里,有张小女孩的图片。这不是一个普通的小女孩,你看,它的分辨率只有530*456,但是它的大小却有6.98M。。。
因为在这个图片背后,贴着一个“下载器”,可以访问指定的地址下载另一个程序。
(把这张图片解压之后,能解出这么一堆文件。。。)
这个指定的地址是哪里呢?还是豆瓣。。。。去豆瓣干什么呢?还是跳到QQ空间找另一个“下载器”。就这么循环了三次,下载了一堆形态各异的下载器。终于,最后一个下载器把剧情推进到了第三步。
第三步:下载勒索病毒。
最后一个下载器,终于从QQ空间里拿回了两样东西:这第一样我们等下再说,这第二样就是勒索病毒本尊。后面的故事就是把用户电脑上的文件加密,然后弹出微信支付二维码,大家都知道了。
以防你没明白,中哥画张图。简单来说就是薅羊毛程序下载了一串下载器,最后一个下载器下载了勒索病毒。
没错,就是用来记录用户密码的程序。
问:它都可以用来记录什么密码呢?
答:支付宝、京东、网易163邮箱、微博、百度云盘、QQ网页版、天猫、旺旺、酷狗、迅雷。
其中,支付宝的安全做得最好。一般情况下,用户在支付宝页面输入密码的时候,支付宝会探测有没有记录程序在偷偷记录密码。所以,为了绕过支付宝的检查,黑客在支付宝的网页之上生成了一个一模一样的窗口,盖住原本的密码框,骗用户输入密码。。。
这就是为神马到了第二天,这个病毒又被称为“支付宝病毒”的原因了。。。。
至此,微信和支付宝躺枪的过程完毕。
这个病毒之所以被叫做“微信勒索病毒”,是因为它通过微信支付勒索钱财。
这个病毒之所以被叫做“支付宝病毒”,是因为它试图盗取用户的支付宝密码。
然鹅,平胸而论,这个病毒并没有只盗取支付宝的密码啊。。。如果它盗取谁的密码就用谁命名的话,这个病毒应该叫做:
“支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”
那么这个病毒究竟盗取了多少人的账号和密码呢?卖个关子,最后会揭晓。
我们继续顺着病毒追查。既然已经得知这么多信息,接下来就可以试着寻找病毒作者究竟是谁了。
病毒作者浮出水面
事到如今,你已经能体会这位病毒作者童鞋的风格了:虽然他破“腚”百出,但只要你留心,总能找到更奇葩的破腚。。。
好的,奇葩的破绽就出在这些“下载器”上。
为了严谨,多说一句。分析了一下在真正病毒被下载之前的五个“下载器”,亮哥发现,这些下载器的代码风格和最后的病毒是一致的。这证明,下载器和最终病毒的作者是一个人。
在其中一个下载器里,作者竟然留下了自己的 GitHub 地www.czybx.com址,而这个地址可就厉害了,用户名直接是:“qq179074XXXX”。我读书少,但怎么看这都是一个QQ号吧。。。而在页面里他还留下了一串字符:LSY1996XXXX。我读书少,但这这分明就是一个名字的缩写和生日好不好。。。
不用你们动手,
中哥替你们搜了一下这个QQ号。
1996年,还是个白羊座。。。听说白羊座做事冲动,星象大师诚不我欺啊。
亮哥说,他刚开始搜到这个QQ号的时候,对方的签名还写着:“收徒,老湿傅带你写外挂。2300包教包会!”(当然现在已经改了)
而有一位叫做“雕哥”的热心网友,好奇加了他的QQ,他居然还没意识到发生了什么,要继续去打LOL。
当然,即使是一个病毒作者,中哥也并不提倡人肉他。不过实际上,这些信息被公开之后,广大网友已经把这位小哥的具体姓名人肉到了。。。具体的信息这里就不写了,我们暂且把他称为 LSY 吧。
至此,黑客在安全人员眼中已经遭遇了史诗级的溃败。。。
说到这,你一定想知道,这位黑客老湿傅究竟赚了多少钱。
当然,这个账号具体的收款详情,只有微信支付才掌握,他们并不会公布。但亮哥回忆了一个有趣的细节。
最开始,亮哥接到“报警”之后,确实有一个受害者说,他已经扫码支付了110块,然后,就没有然后了。
经过逆向这个病毒程序之后,亮哥发现,程序根本就没那么智能,这边付过去110块,那边的 LSY 老湿根本不知道是谁付的钱,又怎么能帮你解锁呢。。。。
而在亮哥尝试扫那个微信支付码的时候,这个码已经失效,因为被举报了//www.czybx.com。。。举报了。。。
腾讯官方赶紧封了收费二维码并辟谣
微信昨天表示,已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信用户财产和账户安全不受任何威胁。
腾讯表示,据查,该新型勒索病毒通过加密电脑上的doc、jpg等常用文件,然后利用微信支付二维码进行勒索赎金。微信对任何形式的网络黑产犯罪“零容忍”,一直在持续打击网络黑产,实现了全链条精确打击。微信目前具有业界最安全的账号保护体系,会通过后台风控策略对高风险交易场景进行提醒和确认,以保护好用户支付和财产安全。
微信同时提醒广大用户,该勒索病毒可能通过任何形式的支付方式索要转账,ESwCVDfVTf若遭遇勒索,不要付款,及时报警。同时,腾讯电脑管家提供解密工具和人工服务,协助用户处理相关情况。
支付宝称目前没有一例账户受到影响
支付宝安全中心表示,已第一时间跟进,目前没有一例支付宝账户受到影响。针对此类风险,支付宝风控系统早有针对性的防护,包括二次校验短信校验码、人脸识别等。即便密码泄露,也能最大程度地确保账户安全。
据介绍,在智能风控的保护下,支付宝的资损率低至千万分之五。即便出现小概率的账户被盗,支付宝也承诺会全额赔付。
支付宝方面也提示用户,该勒索病毒仅出现在PC端,被感染的电脑会记录键盘行为,获取用户在各类平台输入的密码信息,建议大家及时安装安全软件查杀病毒。
怎么说呢,很可能那个付款的受害者,是第一个交赎金的,也是最后一个能交进去赎金的。。。这个故事告诉我们:下次遇到微信支付勒索,交智商税要趁早。磨蹭半个小时,想送钱都送不进去了。
故事讲到这里,还有一个最大的疑团没有解开,那就是:LSY 老湿傅,究竟是如何把那一整套“下载病毒的指令”塞进几十款薅羊毛程序里的呢?
你可能猜不到,解开这个谜团的同时,我们顺便又打开了一个新世界的大门。。。
神秘的组织:易语言
一个神奇的事实浮出水面:
所有传播这个勒索病毒的薅羊毛、外挂程序,都有一个惊人的特点,那就是——他们都是用“易语言”编写的。
你可能会好奇,纳尼?我听说过 C语言,PHP,Java,啥叫易语言?
实话实说,中哥在一天以前,也不知道神马是易语言。
给你两张易语言编程界面你体会一下。
你应该有感觉了。易语言是一个纯中文的编程界面,对于广大没有计算机背景,但是却热爱编程的人士“相当友好”。
如果说 C 语言是任天堂的红白机的话,那么易语言就是——小霸王学习机。
可能你猜不到,易语言在中国有着巨大的使用群体。
而在易语言的粉丝中,有一个颇为有名的论坛——精易论坛。
给你看下,精易论坛的感觉。。。
没想到,中国人民对于薅羊毛这件事情过于热衷,导致几万人使用了带毒的薅羊毛程序,超出了他的预料,直接惊动了中国几大杀毒软件。
事实也证明,病毒从开始传播到各大安全厂商剿灭,总共用了半天时间。
就这样,他从一个默默收徒的小黑客,摇身一变成了两天之内用两种姿势连续攻占百度搜索头条的男人。。。
事情曝光之后,LSY 的豆瓣页面上的最后一条攻击代码也被他换掉了,只有一行字:
sorry!---太年轻了!
看到这里,一种复杂的心情涌上我心头。年轻总会犯错误,但有时我们为年轻付出的代价,也许过于沉重。
以上一切信息,亮哥都在第一时间同步给了警方。从公开信息看,各大安全厂商也都把自己掌握的信息交给了警方。
就在2018年12月6日晚上,微博“平安东莞”发布了一条消息。没错,LSY 老湿落网了。。。
根据警方的信息,罗某某涉嫌利用自制病毒木马入侵用户计算机,非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条,全网已有超过10万台计算机被感染。亮哥给我讲的故事,到这里就告一段落了。
但是回望整个事件,我发现它的每一个环节,都只能发生在中国。
从只有中国人才用的“小霸王学习机”易语言,到中国特色的薅羊毛软件,到通过豆瓣和QQ空间进行病毒投放,到微信支付收勒索款,再到这个22岁的青年所思考的一切。
在川流的忙碌人群背后,有一个庞大的群体,大多数时候他们沉默着,在角落里按照自己的“规则”生存着。
他们之中,有的人赚尽荣华,坐拥香车美女;
他们之中,也有人四处挣扎,幻想致富良方。
偶尔,他们中的一员被甩到舆论的漩涡中心,被人嬉笑品评,然后黯然退场。
他们,像是中国的影子。
内容版权声明:除非注明原创否则皆为转载,再次转载请注明出处。
文章标题: qq文件失效怎么办