“微信支付”勒索病毒已破解，可能系國人新手開發

　　一款要求使用微信支付贖金的勒索病毒在近日大規模蔓延開來，相關消息稱，截至12月3日，已有近2萬人感染該病毒。

　　該勒索病毒入侵用戶電腦后會對用戶文件進行加密，用戶支付贖金才可解密。此外，病毒還會竊取記錄用戶的鍵盤行為，竊取用戶在各平臺的賬號密碼，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ等。

　　不過，此前流行的勒索病毒多是通過數字貨幣支付贖金，而這款勒索病毒的支付方式竟然是微信支付。

　　目前，微信方面已經封殺了該病毒提供的付款二維碼。此外，多位安全領域專家對記者表示，該勒索病毒極有可能是國人開發，其加密方式相較于其他勒索病毒破解較為簡單，傳播量有限，目前國內主流的安全軟件已紛紛推出相應的解密工具。

　　病毒通過外掛軟件等傳播，范圍可控

　　2017年，一款名為WannaCry的勒索病毒利用Windows系統漏洞在全球蔓延，病毒要求支付價值等同于300美元的比特幣才可解密所有被加密文件。

　　相關資料顯示，全球有超過23萬臺計算機被病毒感染，有超過10萬家組織及機構被攻陷，我國的中石油、公安內網及不少大學的校園網也紛紛中招。

　　與WannaCry相比，此次在國內蔓延的勒索病毒的傳播量及破解難度均不及前者。

　　360互聯網安全中心安全研究員王亮對記者表示，該勒索病毒主要通過捆綁在外掛輔助軟件、刷量軟件等第三方開發的應用程序傳播，通過QQ群、網盤分享等形式發送給受害者。

　　當用戶運行相關外掛軟件之后，軟件內置的木馬下載器就會安裝到用戶電腦中，并下載惡意程序到用戶電腦。病毒并非在用戶下載軟件的第一時間就開始進行感染。王亮稱，病毒在被下載至用戶電腦后，潛伏了較長時間，直至11月底才開始大規模感染。

　　不過，外掛軟件開發者并非病毒的制作者。王亮稱，該病毒最早發布于某開發者論壇，當軟件開發者使用了含有病毒的代碼或模塊之后，其編譯出的程序均會攜帶病毒。

　　火絨安全團隊同樣解釋稱，該病毒的特點是利用“供應鏈污染”的方式進行傳播，在感染編譯者的編譯環境后，再通過編譯者編譯的程序傳播到外界，所以感染量不及WannaCry。

　　WannaCry主要是利用了Windows系統的“永恒之藍”漏洞進行傳播，屬于計算機系統的自有漏洞，理論上只要電腦聯網就存在被感染的可能，故波及面更廣。

　　病毒可能系國人新手開發

　　通過對病毒進行分析溯源，火絨安全發現，該病毒主要針對的是使用“易語言”編程的開發者，這是一種以中文為程序代碼的編程語言。加之勒索界面為中文，并且使用微信二維碼支付贖金，所以病毒極有可能是國人開發。

　　此前，勒索病毒多是通過數字貨幣等方式收取贖金，匿名且不易追蹤，但此次竟然是使用微信二維碼收取贖金。

　　微信團隊回應稱，已第一時間對所涉勒索病毒作者賬戶進行封禁、收款二維碼予以緊急凍結。微信用戶財產和賬戶安全將不受任何威脅。

　　同時，該病毒還會記錄用戶的鍵盤行為，竊取用戶在各平臺的賬號密碼，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ等。

　　事發后，支付寶方面回應稱，目前尚未收到受波及的支付寶賬戶反饋，并表示該病毒僅出現在PC端，建議用戶及時安裝殺毒軟件查殺病毒。

　　此外，相對于此前的勒索病毒而言，此次國內散播的病毒在破解上也較為容易。

　　王亮對記者表示，一般勒索病毒會使用通用的加密算法加密用戶文件，使用“規范”的話，幾乎無法破解。目前多數安全軟件都能殺掉勒索病毒，但在破解上常常無能為力，被感染用戶只能通過支付贖金才能解密文件。

　　但國內此次散播的病毒是制作者自行開發的一套算法，“存在不少漏洞”，所以破解較為容易。目前國內主流的安全軟件均推出了自家的破解方案，被感染用戶可以自行下載解密。

　　王亮分析，病毒制作者很可能是個“新手”，以為只是在論壇小規模散播，根本沒想到會蔓延到現在的地步。

　　目前，攜帶該病毒的部分外掛軟件仍在互聯網上傳播，他建議用戶不要輕易下載來源不明的軟件，在下載時建議使用殺毒軟件進行查毒。

　　同時，應定期更新系統及軟件，修補漏洞。針對重要文件做到定期備份，以確保被感染后損失可以降到最低。

　　新京報記者 薛星星 編輯 蘇琦 校對 賈寧

責任編輯：張文