微信勒索软件攻击:四天内感染超过 100 000 台计算机

加布里埃·豪尔 评价 - -

中国感染了要求以微信支付应用来支付赎金的微信勒索软件

WeChat ransomware attacks China 

微信 (WeChat) 勒索软件是最近在中国内地传播的最新威胁。专家警告说,自 12 月 1 日以来,它已经侵入了 超过 10 万台计算机。根据中国网络安全公司 Velvet Security 的报告,这个攻击与其他类似的大规模勒索软件不同,原因在于其要求的赎金数额。 一般情况下,恶意软件开发人员会要求巨大数额的比特币,但这一次攻击者却只要求受害者通过微信支付功能支付 16 美元或 110 人民币的赎金。 

这个恶意软件只针对了中国用户,它同时含有从支付宝、网易、百度云盘、京东、淘宝、天猫、QQ 和阿里旺旺等各种服务窃取用户帐户密码的额外功能。据报道,攻击者还在 “EasyLanguage” 编程软件中添加了一个恶意脚本,这是大多数开发人员在创建应用程序时都会使用的编程软件。这个已被修改的软件主要用意是将勒索软件代码直接传​​播到每个应用程序和产品中。

这个所谓的 WeChat 勒索软件已经侵入了大约 10 万台个人电脑。这个勒索软件病毒会加密在受感染系统上发现的所有数据,但不包括 .gif 和 .exe 以及 .tmp 扩展名。

微信勒索软件的技术细节

当目标数据被加密时,勒索软件显示了要求 110 人民币的弹出式勒索字条,要求受害者在三天内向黑客的微信账号付款。否则,他们将无法收到解密密钥。负责此威胁的网络犯罪分子声称,如果没有及时支付赎金,解密密钥将自动从服务器中删除。

Velvet Security 报告还透露,骗子设法应用了从腾讯科技窃取的数字签名来签署他们的恶意软件代码,这个步骤可以让特定目录或程序中的数据避免被加密,以及禁用某些安全工具或系统的功能。

除文件加密外,此病毒还会收集信息,包括热门网站和社交媒体平台帐户的登录凭据,这些数据被收集后会被存储在属于攻击者的远程服务器上。其中一个应用是支付宝,这是在中国很常用的应用。因此,中国的用户对这个恶意活动感到厌烦是毫不出奇的。

编程不良的勒索软件已经破解

根据研究及基于功能和赎金需求来看,微信勒索软件似乎是一个臭名昭着的病毒。然而,网络安全研究人员和专家发现了编码中的漏洞和问题。

看起来黑客一开始对加密过程没有说实话。虽然勒索字条里说明了 DES 加密方法,但是不太安全的 XOR 算法才是文件编码过程中被使用的功能。另一个谎言是解密密钥,因为它存储在用户系统里新创建的 %user%\\AppData\\Roaming\\unname_1989\\dataFile\\appCfg.cfg 文件夹中,而不是在远程服务器里。

借助所有这些信息,Velvet Security 的专家已经创建了一个可以帮助受害者进行数据恢复操作的工具 。如你所见,你无需支付赎金即可复原文件。此外,编码中的这些漏洞也让研究人员破解了 C&C 服务器对数据库的访问权限,这些数据库存储了从受害者身上被盗的各种凭证。

最后,专家们披露了有关创作者 “Luo”(“罗”)的敏感信息。这个程序员的帐户、电话号码和各种应用程序的识别详细信息已转移到执法机构和中国服务部门,他们将使用这些详细信息进一步地调查这个问题。

关于作者

Gabriel E. Hall
Gabriel E. Hall - 充满激情的网络研究员

加布丽埃尔 · 豪尔 是一名充满激情的恶意软件研究人员,在 wubingdu.cn 工作了近十年。在成为其中一名撰稿人之后,她现在是该项目的高级编辑。

联系 Gabriel E. Hall
关于 Esolutions 公司

来源:https://www.2-spyware.com/wechat-ransomware-attack-over-100-000-computer-infections-in-four-days

以其他语言阅读