新的勒索软件在中国迅速蔓延,感染了超过100,000台个人电脑

2018-12-05 10:03:09 46 6685

据报道,中国的一名软件开发人员通过供应链攻击对中国用户进行文件加密勒索,要求用户使用微信支付赎金获得解密密钥。火绒团队对这个供应链攻击进行了分析,发现勒索软件的加密极其不专业,发布了免费的勒索软件解密工具。火绒安全团队还溯源到了勒索者的所有信息,并将收集到的犯罪信息移交给有关部门。





新的勒索软件正在中国迅速蔓延。该勒索软件使用供应链攻击,在过去四天里,已经感染了超过100,000台计算机......并且受感染用户的数量每小时都在不断增加。

有趣的是什么呢?与几乎所有勒索软件恶意软件不同,新病毒不需要比特币支付赎金。

攻击者要求受害者通过微信支付支付110元(近16美元)的赎金 ——微信支付是中国最受欢迎的即时通讯APP提供的支付功能。



勒索软件+密码窃取器——与去年引起全球混乱的WannaCry和NotPetya勒索软件爆发不同,新的勒索软件只针对中国用户。它还会窃取支付宝、网易163电子邮件服务、百度云盘、京东、淘宝、天猫、阿里旺旺、QQ帐户密码。


据中国网络安全和反病毒公司——火绒安全称,攻击者将恶意代码添加到大量开发人员使用的“EasyLanguage”编程软件中。通过供应链攻击,将勒索软件代码注入到每个需要通过该供应链编译的应用程序和软件产品中 ,这样可以快速传播病毒。





安装了上述受感染应用程序的中国用户超过100,000名,他们的系统都受到了攻击。此勒索软件会加密受感染系统上的所有文件,除了gif、exe和tmp扩展名的文件。

使用被盗数字签名 -为了防御反病毒程序,攻击者使用来自腾讯技术的可信数字签名对恶意软件代码进行签名,并避免加密某些特定目录中的数据,如“腾讯游戏、英雄联盟、tmp、rtl、program”。
加密后,勒索软件会弹出一张便条,要求用户在3天内向攻击者的微信账号支付110元,这样才能收到解密密钥。



如果未在显示的时间内付款,则恶意软件可能会自动从其远程命令和控制服务器中删除解密密钥。
除了加密用户文件外,勒索软件还默​​默地窃取用户登录凭据,用于流行的中文网站和社交媒体帐户,并将其发送到远程服务器。
它还收集系统信息,包括CPU型号,屏幕分辨率,网络信息和已安装软件列表。

中国网络安全研究人员发现,赎金软件的编程水平很糟糕,整个加密过程都很次。
勒索软件声明,用户的文件已经使用DES加密算法加密。但实际上,它使用不太安全的XOR加密数据,并将解密密钥的副本存储在受害者系统本身的一个文件夹中,该文件夹位于以下位置:
%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg
利用这些信息,火绒安全团队创建并发布了一个免费的勒索软件解密工具,可以轻松地为受害者解锁加密文件,而无需支付任何赎金。
研究人员还设法破解并访问攻击者的C&C服务器、MySQL数据库服务器,并发现数千个被盗的凭证。
这个勒索软件攻击的背后是谁?-利用公开的信息,研究人员找到了一名叫罗某的嫌疑人,他是一名程序员,开发了诸如"lsy资源助手"和"LSY经典闹铃v1.1"之类的应用程序。



安全研究员也同样溯源到罗某的QQ帐号、手机号码、支付宝ID、电子邮件,与所收集的攻击者微信帐号信息完全相匹配。

在收到勒索威胁情报后,微信暂停了其用于接收赎金的帐户。


火绒研究人员还向中国执法机构提供了所有可用信息,以便进一步调查。

关于作者

评论46次

要评论?请先  登录  或  注册