快讯
《女神异闻录5R》攻略汇总
2020-03-19 19:08:00
A股头条:央行表示中国经济长期向好基本面没变北向资金净买入中国国旅、贵州茅台
59分钟前
中国概念股周三收盘涨跌互现跟谁学大涨逾18%
1小时前
道指涨超110点,纳指和标普500指数创新高
1小时前
上汽集团携“荣威”“名爵”首登印度车展
2小时前
险资调研盯紧"中小创"2月份以来"出镜"高达210次占比88%
2小时前
万盛股份:目前均已复工生产经营正常
3小时前
两大期货股逆市封涨停
3小时前
★上市公司公告速递_沪市(2020-02-20)
3小时前
比尔-盖茨坦言买了Taycan后马斯克评价盖茨"很平庸"
3小时前
券商投行线上开工监管提高IPO企业包容度
3小时前
重庆啤酒等一批上市渝企复产
4小时前
2019年度上海人工智能最具影响力企业(TOP10):依图科技/商汤科技榜上有名
4小时前
特斯拉正在研究太阳能革新电网技术
5小时前
《小女上房揭瓦》分账破2000万;《王者荣耀》转区功能将上线;快手与歌华有线合作在线教育
5小时前
战疫面前无小事成长型电商持续驰援更应该被社会肯定
5小时前
云测数据如何成为智能驾驶的虚拟“安全带”?
5小时前
自由软件基金会向微软邮寄空硬盘希望其贡献Windows7源码
5小时前
《侍道外传刀神》评测:颇有实验味道的番外篇
5小时前
八菱科技就印象恐龙已资本化费用摊余回复问询
5小时前
首次尝试电驱领域场地试驾雪佛兰畅巡
6小时前
续航410km雪佛兰畅巡将于今日上市
6小时前
紧急通知!中低风险地区允许快递员进小区
6小时前
美股三大股指集体高开特斯拉涨超7%
6小时前
19日晚公告精选丨多家上市公司:公开发行可转债申请获核准批复
6小时前
晚间资讯|央行称加大对疫情防控领域信贷支持;益生股份拟高送转
6小时前
供给受限维生素E价格持续上行
6小时前
赛意信息拟公开发行不超3.2亿元可转债
7小时前
2月19日晚间重要公告集锦
7小时前
公告精选:飞乐音响披露重大资产出售预案;益生股份业绩大增拟高送转
7小时前

攻与防的较量:360打响“微信支付”勒索病毒狙击战!

推荐 2018-12-05 14:22:33

12月1日,利用豆瓣作为C&C服务器进行攻击的UNNAMED1989勒索病毒爆发。这一利用“易语言开发环境”为介质实现快速传播的病毒,因为直接以微信扫码取代了以往通过数字货币进行赎买的支付方式,也被形象的称作“微信支付”勒索病毒。

360安全卫士官微早于12月2日凌晨就紧急发布了UNNAMED1989勒索病毒的传播情况和初步分析结论。目前,360安全卫士已可有效拦截该勒索病毒的攻击。但此次“微信支付”勒索病毒所暴露出的黑客新型攻击手段,已引起用户的广泛关注。对此,360对该勒索病毒的发展历程进行了进一步的深入分析。

黑客成长史——从暗中尝试到公开传播

据360研究和追踪,“微信支付”勒索病毒的作者不仅熟练PC开发和移动端开发,还掌握了多个编程语言,早在2017 年4月就开始尝试通过论坛传播“正常源码+带毒模块”。

image.png

image.png

2018年4月,该作者开始尝试投递带毒工程项目,当时还使用的是Github存储远程控制信息。

image.png

image.png

到了2018年下半年,该作者开始使用豆瓣分发控制指令。通过豆瓣日记可以看到,其9月30 日开始进行调试。

image.png

image.png

从10月开始,作者通过论坛以“分享源代码”的方式开始尝试传播。

image.png

image.png

image.png

image.png

11月13日,作者开始在论坛散布带有恶意代码的所谓“恶搞代码”,这也是感染用户计算机的恶意代码首次对外公开传播。当天,就有易语言的开发者中招。

image.png

11月15日,作者在易语言开发者论坛进一步传播这一恶意代码。

image.png

11月15日,第一款被感染的应用开始在互联网中传播。

image.png

11月19日,超过20款应用被篡改,恶意程序开始在互联网大肆传播。

image.png

在11月底,恶意模块被举报,论坛管理员发现问题,并删除了传播源。

360反击战——从发现到快速查杀

2018年11月30日,“微信支付”勒索病毒作者开始下发“Unnamed勒索”软件。

12月1日,360安全卫士发布安全预警,提醒用户及时查杀木马。

12月2日,360安全卫士率先发布解密工具,支持unnamed1989勒索病毒解密。

12月3日,360安全卫士发布勒索病毒追溯分析,解析勒索病毒源头以及下发方式,提醒广大用户注意。

12月4日,360支持对该病毒感染的易语言开发环境的查杀。

需要注意的是,根据360分析发现,“微信支付”勒索病毒攻击者不仅往受害者机器上植入了勒索病毒,还植入过盗号木马。这些恶意程序会注入到合法进程中工作,并带有更新功能,通过获取攻击者豆瓣主页上的字符串获取更新地址,并根据情况更改植入受害者计算机的恶意程序。

由此可以表明,“微信支付”勒索病毒的攻击是一个持续的、不断跳转的过程,再加上“供应链污染”的传播方式和微信扫码的支付方式,一度引起广大用户恐慌,也让网络安全工作者高度重视,而360此次对“微信支付”勒索病毒及时高效的应对,无疑是对抗勒索病毒的成功一役,为广大开发者和用户增添信心。


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......