近日多家网络安全团队先后接到用户求助,称电脑遭遇勒索病毒攻击、电脑中的文件被加密。经上述安全团队分析确认,该病毒为新型勒索病毒,入侵电脑运行后,会加密用户文件。与以往不同的是该病毒并不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这是国内首次出现要求微信支付赎金的勒索病毒。目前,攻击者的微信账户和收款二维码已经被腾讯封禁。
截至12月6日,已有超过十万用户感染该病毒,并且被感染电脑数量还在增长,除了加密用户电脑文件外,还大肆窃取支付宝等密码。该病毒是通过攻击软件开发者的电脑,感染其用以编程的“易语言”中的一个模块,导致开发者所有使用“易语言”编程的软件均携带该勒索病毒。广大用户下载这些“带毒”软件后,就会感染该勒索病毒。整过传播过程很简单,但污染“易语言”后再感染软件的方式却比较罕见。
那么易语言什么呢?易语言是一门以中文字符作为程序代码的编程语言,其以“易”著称,方便中国人以中国人的思维编写程序,极大的降低了编程的门槛和学习的难度。从2000年以来,易语言的用户数量已经发展到较大的规模。
360安全专家追踪发现,该勒索病毒的源头来自于一款易语言的开发模块被插入恶意代码,程序猿用此开发模块编译的软件都自动装入了病毒。目前证实,有大量的外挂工具、刷量软件、打码软件、私服等第三方开发的应用程序已经中招。
病毒代码依靠“白加黑”方式被调用,用于调用病毒代码的是带有有效腾讯数字签名的白文件,由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。
随后通过QQ、QQ群共享、网盘分享、论坛贴吧等形式将这些“高危”应用程序发送给受害者。受害者运行后机器上就会感染下载器木马,之后再由下载器木马安装其它恶意程序,这其中就有闹得沸沸扬扬的“微信支付”勒索病毒。
该工具为灰色产业从业人群使用的工具,这部分人群使用的工具有许多会被杀毒软件查杀,他们常常会无视杀毒软件的拦截提示。因而,这个勒索病毒针对灰产从业者的定向传播十分奏效。
值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。不过,仍然建议使用“易语言”模块的开发者尽快进行病毒查杀,普通用户应尽量从正规渠道下载软件。正规的软件开发者在软件发布前进行全面的安全检查,并使用代码签名证书对软件进行数字签名,防止软件被勒索病毒恶意篡改。
使用数安时代GDCA代码签名证书就能防止软件被恶意勒索病毒篡改,保护网站安全。如果用户遇到的问题不能解决,可通过数安时代GDCA官网客服寻求帮助,选择数安时代GDCA 代码签名证书证书的网站用户,数安时代GDCA可提供免费一对一的代码签名证书技术部署支持,免除后顾之忧.
领取优惠
提交成功!