快讯
物价保持稳定有坚实基础(锐财经)
1小时前
火热报名ing!谁是2019年餐饮创新力100强?
1小时前
企业创新成长渴望宽松自由的营商环境
3小时前
e-tron和Q2Le-tron联袂上市,奥迪掀起在华电动攻势
3小时前
证监会同意两家企业科创板IPO注册
3小时前
建设银行被罚30万的原因是什么建设银行几点上班
3小时前
华泰证券(06886):2018年公司债券(第一期)将于11月26日付息
3小时前
药明康德(02359):激励计划披露前6个月内未发现内幕信息知情人违规股票买卖
3小时前
弘信电子(300657.SZ):何建顺减持计划已实施完毕
3小时前
精工钢构(600496.SH):“17精工01”将于27日提前摘牌
3小时前
[快讯]金冠股份:收到中标通知书及采购合同
3小时前
[快讯]弘亚数控:关于监事、高管减持计划期限届满暨未减持公司股份
3小时前
[快讯]光一科技:重大经营合同中标公示
3小时前
投融快讯|CDP集团获得8000万美元战略投资Moveworks获得7500万美元资金麦迪电气获得战略投资
3小时前
晶方科技(603005.SH):EIPAT减持1%股份
3小时前
[快讯]联得装备发布质押公告一股东累计质押2160万股
3小时前
[快讯]青青稞酒:关于控股股东提前终止股份减持计划
3小时前
南京熊猫电子股份(00553)附属深圳京华斥资1亿元购买银行理财产品
3小时前
[快讯]汇金科技:收到《中标通知书》
3小时前
猫狗上行,投资下行
3小时前
[快讯]旷达科技发布解除质押公告一股东累计质押32513万股
3小时前
各有千秋中国品牌皮卡横评(静态篇)
3小时前
税费减下来获得感提上去细数减税降费"红包"
3小时前
[快讯]伊戈尔:华林证券股份有限公司公司部分募投项目结项并将节余募集资金永久补充流动资金的核查意见
3小时前
[快讯]当代东方:关于持有公司5%以上股份的股东减持预披露
3小时前
[快讯]南国置业:关于持股5%以上股东股份减持时间区间届满
3小时前
[快讯]宏辉果蔬13607万限售股11月25日解禁
3小时前
[快讯]宏发股份:股东减持股份计划
3小时前
[快讯]光一科技:关于董事兼高级管理人员减持股份计划的预披露
3小时前
1公司获得推荐评级-更新中
3小时前

1989请回答:“微信支付”勒索病毒疫源回溯,铺量手法运用娴熟

推荐 2018-12-05 14:26:37

UNNAMED1989”微信支付”勒索病毒尘埃尚未散尽,虽然早在12月2日360安全卫士已经率先发布解密工具,支持unnamed1989勒索病毒解密,并于12月4日支持对该病毒感染的易语言开发环境的查杀,但通过360安全大脑的勒索病毒追溯分析,解析勒索病毒源头以及下发方式,我们还是希望提醒广大用户,尤其是易语言开发环境下的开发者和用户,对于各种论坛传播的“外挂源码”谨慎下载,因为这些所谓的正常源码,很有可能就是本次“微信支付”勒索病毒的“疫源”。

我们有必要看到,本次”微信支付”勒索病毒作者具备熟练PC端和移动端的开发经验,并且掌握了多个编程语言,同时“铺量手法娴熟”,预埋的时间线很长,这也是能在短时间内迅速感染大批用户的一个原因,但令人尴尬的是其采用的微信支付勒索的方式,正如病毒作者本人在豆瓣日记所示,还是年轻了,事情闹大了,再删去豆瓣日记上的加密字符串,360安全大脑表示,及时截图是个好习惯。

image.png

潜伏时间长,早早盯上易语言编译环境

2017 年4月,”微信支付”勒索病毒就开始尝试通过论坛传播“正常源码+带毒模块”,这些界面友好,亲切nice的offer,给与广大开发者以极大诱惑。尤其是对易语言开发环境的开发者来说,各种福音,多多益善的诱惑下难免放松了警惕。

image.png

坊间经常流传刷量、外挂、打码、私服等一些较为灰色的软件所声称的“杀毒软件误报论”。360安全大脑提示您,360安全卫士不会针对任何特定类型的程序进行“误报”。假如开发者当时用360安全卫士查杀一下下载的程序,这个事件就此可以终结。

image.png

12个月后,在2018年4月,”微信支付”勒索病毒作者开始尝试投递带毒工程项目,当时使用的还是GitHub来存储控制信息,

image.png

image.png

演出开始了,360安全大脑提示您对任何“分享”持谨慎态度

到了2018年下半年, 开始使用豆瓣日记分发控制指令。通过豆瓣日记可以看到,2018年9月30开始进行调试。

image.png

从2018年10月开始,”微信支付”勒索病毒通过论坛以“分享源代码”的方式开始尝试传播

image.png

image.png

image.png

image.png

2018年11月13日,作者开始在论坛散布带有恶意代码的所谓“恶搞代码”,这次是本次感染用户计算机的恶意代码首次对外公开传播。当天,就有易语言的开发者中招。

image.png

11月15日,作者在易语言开发者论坛进一步传播,第一款被感染的应用开始在互联网中传播。

image.png

image.png

到11月19日,超过20款应用被篡改,恶意程序开始在互联网大肆传播。

image.png

虽然在11月底,恶意模块被举报,论坛管理员发现问题,并删除了传播源,但此后,恶意模块已经开始泛滥并持续传播。

image.png

持续发酵时间线

11.30日,“微信支付”勒索病毒的作者,开始下发”Unnamed勒索”软件;

12.1日,360安全卫士发布安全预警,提醒用户及时查杀木马;

12.2日,360安全卫士率先发布解密工具,支持Unnamed1989勒索病毒解密;

12.3日,360安全卫士发布勒索病毒追溯分析,解析勒索病毒源头以及下发方式,提醒广大用户注意;

12.4日,360支持对该病毒感染的易语言开发环境的查杀。


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......