吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 45708|回复: 221
收起左侧

[转载] 火绒团队:"微信支付"勒索病毒制造者被锁定 传播、危害和疫情终极解密

    [复制链接]
zz8899 发表于 2018-12-5 08:56
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
12月1日,首个要求"微信支付"赎金的勒索病毒在国内爆发,根据"火绒威胁情报系统"监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条淘宝、支付宝等平台的用户密码等信息。
根据火绒团队的分析、溯源,该病毒使用"供应链污染"的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的"易语言"编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。


图:部分被感染软件

火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。


图:被盗取的登录信息数据统计信息

此外,该病毒还将受害电脑所有安装的软件进行统计和信息回传,通过对数据的分析发现,多数受害者没有安装安全软件。

经过进一步分析,火绒团队发现所有相关信息都指向同一主体--姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com)。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。

12月1日该病毒爆发后,"火绒安全软件"当天升级查杀,火绒团队连夜制作了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。广大用户无需担心,使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系火绒团队尝试解密。


火绒团队的分析表明,微信支付、支付宝和豆瓣等平台,均与该病毒的传播和作恶没有直接关系,也没有发现有系统漏洞被利用。微信在12月1号当天关闭了勒索赎金的账号;豆瓣12月4号删除了病毒下发指令的页面,控制了病毒的进一步传播。



附详细分析报告

数据分析

火绒前期报告中写道,Bcrypt勒索病毒通过供应链污染的方式正在进行大范围传播,病毒会借助被感染的易语言编译环境为跳板,之后病毒会通过从被感染环境编译出的易语言程序在互联网中大范围扩散。通过火绒近期对感染数据的追踪,我们整理出了大量受影响的易语言程序。此类受影响的易语言程序众多,其中还包含有一些易语言程序下载平台(如:万软平台、赚客吧等)。易语言开发人员开发环境被感染后,编译出带毒的易语言程序,再上传到各大程序下载平台上供用户下载,从而使病毒在更广的范围内进行传播,请使用过类似易语言程序的用户及易语言相关开发人员下载火绒安全软件进行自查。受影响最多的易语言程序,如下图所示:


受影响的易语言程序

上述带毒的易语言软件都会成为病毒作者通过C&C网址链接操控的下载器病毒,从而下载执行其他恶意代码。被下载的恶意程序多为"白加黑"恶意病毒,前期报告中仅对感染量较大的libcef.dll病毒模块进行了分析,但此类病毒模块名种类其实还有很多。经过火绒的分析整理,可以直观显示病毒利用不同模块名执行恶意行为的相关情况。由于很多病毒文件名不具有实际意义,统计时以pdb名称为准,如:AutoinitApp_x64.pdb.dll。此类病毒模块名,如下图所示:


病毒模块名列表

各个病毒模块名所占感染终端数量占比,如下图所示:


各个病毒模块名所占感染终端数量占比图

上述病毒模块包含有多种不同的病毒恶意行为,如:勒索加密、盗取用户账户登录信息等。通过火绒对病毒服务器数据进行分析整理,病毒作者会收集以下几类信息,且每类信息与终端ID一一对应:

1.终端ID

2.系统版本信息、当前系统登录用户名、系统登录时间

3.CPU型号

4.屏幕分辨率

5.IP及所属运营商信息

6.软件安装信息

7.安全软件进程信息

8.网购账户登录信息、邮箱登录信息、QQ号登录信息、网盘登录信息等

截至目前,病毒作者共盗取登录信息共计22442条。相关数据统计分析后,如下图所示:


被盗取得登录信息数据统计信息

溯源分析

根据前期报告中写道,病毒代码中的github链接(hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt),我们找到了病毒作者的github主页(hxxps://github.com/qq*6/ja*et),从中发现了病毒作者的提交记录。如下图所示:


病毒作者提交信息

在提交记录中,我们切换到"d1889a4a0ceb7554982d7a924ecebe23200da94"提交记录中,我们发现在本次提交中有一个名为"new 1 - 副本.txt"的BMP图片文件。图片内容,如下图所示:

  

图片文件内容

如上图红框内代码,此时疑似病毒作者正在调试屏幕截取相关病毒功能。在任务栏中红框所示项目,我们可以看到病毒相关的一些工程正在被编辑,并得到一个疑似病毒作者的姓名,通过该姓名我们找到了相应的百度知道首页(hxxps://zhIDAo.baidu.com/question/11*0859)。如下图所示:


百度知道首页

该百度知道页面中,我们找到了两款与该作者相关的软件:"lsy资源助手"和"LSY经典闹铃v1.1",这两个软件包含有作者的QQ信息和作者姓名的缩写(Mr.l.s.y)。"LSY经典闹铃v1.1"由于未知原因无法运行,"LSY经典闹铃v1.1"相关数据信息,如下图所示:


"LSY经典闹铃v1.1"相关数据信息

"lsy资源助手"运行截图,如下图所示:


"lsy资源助手"运行截图

在上述字符串信息中,我们可以看到阿里旺旺账号名l******6,其中lsy刚好符合"罗**"的汉语拼音缩写。通过我们搜索阿里旺旺用户名,我们找到相关用户信息,发现该账户确实与2*********@qq.com相关QQ号存在联系。相关阿里旺旺账户信息,如下图所示:


账户信息

根据火绒截获的病毒样本,可以发现其中一个恶意URL "http://www.my***********.top/adcheatReserved/gx.html",通过查询https://whois.icann.org/zh/lookup?name=www.my***********.top进行域名反查。我们获得了更多域名注册者的信息,如下图所示:


病毒作者相关信息

我们发现,在前面溯源中找到的QQ邮箱(1*******86)和手机号(17*******45)同时在上述信息中出现。我们再以"LSY经典闹铃v1.1"软件中出现的另一个QQ邮箱号"29*****@qq.com"作为线索,在支付宝使用"忘记密码"方式获得相关手机号,对比前文中出现的手机号,也有极高的相似度。相关信息,如下图所示:


密码找回页面信息

另外,在之前对Bcrypt病毒家族样本的分析过程中,曾多次在病毒服务器数据库密码以及解密代码等处出现19*****7的数字序列,不排除该数字序列为病毒作者生日的可能性。

综上所述,上述信息均指向同一个主体,相关信息如下:

姓名:罗**

QQ号:1*******86

手机号:1********45

生日(疑似):19**年*月*7日


附录

火绒收集到的部分受感染易语言程序名,如下图所示:

点评

看看微信的嘴脸,连个客服都没有,我还是选择支付宝  发表于 2018-12-6 17:10
1790749886  发表于 2018-12-5 22:20
https://zhidao.baidu.com/usercenter?uid=fa0d4069236f25705e793029  发表于 2018-12-5 18:19

免费评分

参与人数 67吾爱币 +61 热心值 +60 收起 理由
a523058664 + 1 没想到在我裸奔的互联网还有这么多默默付出的人 感动
虚生 + 1 + 1 i支持火绒
勇啊有话说 + 1 + 1 我很赞同!
n20220 + 1 + 1 我很赞同!
天羽 + 1 热心回复!
寂痕 + 1 来个手机号轰炸下7*24小时炸鸡
wwwnwy + 1 + 1 我很赞同!
冰炎梦幻 + 1 罗手yin么?
ql_zth + 2 + 1 技术危害安全,这的多傻?更傻的是还用实名支付去勒索,更牛逼的就不会先社工.
越难越爱 + 1 我很赞同!就这点技术就出来混?
皮君子 + 1 + 1 我很赞同!
金知予 + 1 + 1 我很赞同!
awzs7758520 + 1 + 1 我很赞同!
Narky + 1 招安应该是不可能的,看不出有多好的技术,比较常规。
约定的童话 + 1 + 1 好一部谍战大戏啊,精彩纷呈!
千百度 + 1 + 1 逆向,社工玩的挺溜的么
西风吹雪 + 1 我很赞同!
HUQIAN + 1 我很赞同!
MaiLeQiong + 1 + 1 谢谢@Thanks!
言彡 + 1 + 1 我很赞同!
false1 + 1 + 1 热心回复!
ybh7666776 + 1 + 1 我很赞同!
W1NKstory + 1 + 1 我很赞同!
z888 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
电热壶 + 1 + 1 谢谢 @Thanks!
KismetSu + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
amuliuqi + 1 + 1 我很赞同!
almpig + 1 + 1 谢谢@Thanks!
孟孟啊 + 1 + 1 我很赞同!这个是真的要拍手称赞啊,强!早日严惩!
jc911 + 1 年度大戏啊!精彩
nisngyo + 1 + 1 流弊,扒的裤子都不剩下
lswylhq + 1 + 1 我很赞同!
zawly + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
星光芒果 + 1 热心回复!
2014dada + 1 + 1 谢谢@Thanks!
冷风中的一把刀 + 1 + 1 我很赞同!
cheng333 + 1 + 1 用心讨论,共获提升!
Alyran + 1 + 1 热心回复!
hi28166 + 1 + 1 我很赞同!
bolipapadu + 1 + 1 谢谢@Thanks!
xblz1234 + 1 + 1 谢谢@Thanks!
cms_base + 1 + 1 热心回复!
施施乐 + 1 + 1 用心讨论,共获提升!
lguang + 1 打得一手好码!myapplication
簡簡單單 + 1 + 1 差点GG了,辛亏火绒拦截了
李湘城 + 1 + 1 居然是湖州人,真是丢我们湖州人的脸,如果能曝光地址我就上门怼他~
天使之翼tszy + 1 + 1 谢谢@Thanks!
zhanghui12580 + 1 + 1 我很赞同!
anting + 1 + 1 我很赞同!
lzx7171 + 1 + 1 热心回复!
xiaojiang_320 + 1 + 1 曝光他,抓住他,干死她
驿马 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
xgameboy + 1 + 1 厉害,牛逼!把这病毒作者给扒光了,哈哈
787682550 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
DeepMind + 1 + 1 我很赞同!
SocketPair + 1 + 1 我很赞同!
zlgc + 1 我很赞同!
GoodGoodStudy + 1 + 1 热心回复!
1sina + 1 热心回复!
风行草偃 + 1 厉害了火绒...
金野喵君 + 1 + 1 我很赞同!
lys-pj + 1 + 1 差点着了,还检测虚拟机。。。
kakudesu + 1 + 1 我很赞同!
canpione + 1 + 1 我很赞同!
angel8327 + 1 + 1 这个一定要点个赞~~~
那份感动 + 1 + 1 罗思泳,你要GG了。
yuze0804007 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

s330342948 发表于 2018-12-5 12:35
姓名:罗思泳  

邮箱:1790749886@qq.com  

手机:17198899445  

百度云:qq1790749886

罗思泳  生日:19960417  

木马分发地址http://t.cn/EycmHCe

免费评分

参与人数 18吾爱币 +17 热心值 +12 收起 理由
伯牙 + 1 + 1 警方回应:病毒作者已经抓获,感谢提供线索。
ipp + 1 + 1 可以
chyang001 + 1 + 1 我很赞同!
非常猥锁 + 1 扒得好!
a350885802 + 1 我很赞同!
82ybF3UuGN0e + 1 + 1
evill + 1 + 1 热心回复!
hongge + 1 热心回复!
msoayu56 + 2 + 1 热心回复!
zx3224649 + 1 我很赞同!
天使之翼tszy + 1 我很赞同!
lmkiwwx + 1 手机号就是支付宝号。。。
rocknroll + 1 + 1 96年的?现在这些人真是不怕死
Xerneas + 1 + 1 老哥很稳
xiangqianyou + 1 + 1 老铁,怎么可以这么6
Shadow幽灵 + 1 伙计凉了
妹妹说我不好玩 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
wangyujie96 + 1 + 1 热心回复!

查看全部评分

灵剑丹心 发表于 2018-12-5 18:02
QQ截图20181205180106.png

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
um.haha + 1 + 1 楼主也是皮的很
小朋友呢 + 1 + 1 热心回复!

查看全部评分

风继续吹の-- 发表于 2018-12-6 12:48
我觉得是火绒的炒作而已 我也用了其中的一个软件  电脑到现在也没事啊
haishu 发表于 2018-12-5 11:48
火绒团队还是强大无比
fuirtst 发表于 2018-12-5 11:58
幸好我本人睡的很晚,没上到车
baiyun888 发表于 2018-12-5 11:58
火绒给力
q1j1f1 发表于 2018-12-5 12:01
继续支持火绒团队!
离哥哥来了 发表于 2018-12-5 12:03
这么好的机会、在不抓紧怎么超越360
wadsq1081 发表于 2018-12-5 12:05
给力。。。。
麦当劳 发表于 2018-12-5 12:14
还是火绒牛逼  360的安全专家那时候还在睡觉
www.52pojie.cn 发表于 2018-12-5 12:22
牛了,这个要支持,不知道作者会不会被招安

免费评分

参与人数 2吾爱币 +1 热心值 +1 收起 理由
a350885802 + 1 招安?!就个辣鸡易语言程序,别人看不上的,最多进锯子
三大爷 + 1 招安?!就个辣鸡易语言程序,别人看不上的,最多进锯子

查看全部评分

wfygyeeqy 发表于 2018-12-5 12:35
太给力了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 03:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表