一、綜述

12月1日，首個(gè)要求“微信支付”贖金的勒索病毒在國(guó)內(nèi)爆發(fā)，根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估，截至4日晚，該病毒至少感染了10萬(wàn)臺(tái)電腦，不光鎖死電腦文件，還竊取了數(shù)萬(wàn)條淘寶、支付寶等平臺(tái)的用戶密碼等信息。

根據(jù)火絨團(tuán)隊(duì)的分析、溯源，該病毒使用“供應(yīng)鏈污染”的方式傳播。該病毒首先通過(guò)相關(guān)論壇，植入被大量開(kāi)發(fā)者使用的“易語(yǔ)言”編程程序，進(jìn)而植入他們編寫的各種軟件產(chǎn)品，所有使用這些軟件產(chǎn)品的電腦都可能被感染。活躍的染毒軟件超過(guò)50款，其中多數(shù)是“薅羊毛”類灰色軟件。

圖：部分被感染軟件

火絨團(tuán)隊(duì)發(fā)現(xiàn)，病毒制造者利用豆瓣等平臺(tái)當(dāng)作下發(fā)指令的C&C服務(wù)器。火絨團(tuán)隊(duì)通過(guò)逆向分析病毒的下發(fā)指令，成功解密出其中2臺(tái)病毒服務(wù)器，發(fā)現(xiàn)大量被病毒竊取的用戶個(gè)人信息。僅1臺(tái)用于存儲(chǔ)數(shù)據(jù)的病毒服務(wù)器，就存放了竊取來(lái)的淘寶、支付寶等賬戶密碼兩萬(wàn)余條。

圖：被盜取的登錄信息數(shù)據(jù)統(tǒng)計(jì)信息

此外，該病毒還將受害電腦所有安裝的軟件進(jìn)行統(tǒng)計(jì)和信息回傳，通過(guò)對(duì)數(shù)據(jù)的分析發(fā)現(xiàn)，多數(shù)受害者沒(méi)有安裝安全軟件。

經(jīng)過(guò)進(jìn)一步分析，火絨團(tuán)隊(duì)發(fā)現(xiàn)所有相關(guān)信息都指向同一主體——姓名（羅**）、手機(jī)（1********45）、QQ（1*****86）、旺旺賬號(hào)名（l****96）、郵箱（29*****@qq.com）?；鸾q已將上述個(gè)人信息，和被竊取的受害用戶支付寶密碼等信息，一并交給警方。

12月1日該病毒爆發(fā)后，“火絨安全軟件”當(dāng)天升級(jí)查殺，火絨團(tuán)隊(duì)連夜制作了解密工具。隨后，360、騰訊等廠商也升級(jí)產(chǎn)品，并發(fā)布各自的解密工具。廣大用戶無(wú)需擔(dān)心，使用這些安全軟件即可查殺該病毒，已經(jīng)被感染用戶，可以使用這些解密工具還原被鎖死的文件。如果密鑰文件被刪除，也可聯(lián)系火絨團(tuán)隊(duì)嘗試解密。

火絨團(tuán)隊(duì)的分析表明，微信支付、支付寶和豆瓣等平臺(tái)，均與該病毒的傳播和作惡沒(méi)有直接關(guān)系，也沒(méi)有發(fā)現(xiàn)有系統(tǒng)漏洞被利用。微信在12月1號(hào)當(dāng)天關(guān)閉了勒索贖金的賬號(hào)；豆瓣12月4號(hào)刪除了病毒下發(fā)指令的頁(yè)面，控制了病毒的進(jìn)一步傳播。

二、數(shù)據(jù)分析

火絨前期報(bào)告中寫道，Bcrypt勒索病毒通過(guò)供應(yīng)鏈污染的方式正在進(jìn)行大范圍傳播，病毒會(huì)借助被感染的易語(yǔ)言編譯環(huán)境為跳板，之后病毒會(huì)通過(guò)從被感染環(huán)境編譯出的易語(yǔ)言程序在互聯(lián)網(wǎng)中大范圍擴(kuò)散。通過(guò)火絨近期對(duì)感染數(shù)據(jù)的追蹤，我們整理出了大量受影響的易語(yǔ)言程序。此類受影響的易語(yǔ)言程序眾多，其中還包含有一些易語(yǔ)言程序下載平臺(tái)（如：萬(wàn)軟平臺(tái)、賺客吧等）。易語(yǔ)言開(kāi)發(fā)人員開(kāi)發(fā)環(huán)境被感染后，編譯出帶毒的易語(yǔ)言程序，再上傳到各大程序下載平臺(tái)上供用戶下載，從而使病毒在更廣的范圍內(nèi)進(jìn)行傳播，請(qǐng)使用過(guò)類似易語(yǔ)言程序的用戶及易語(yǔ)言相關(guān)開(kāi)發(fā)人員下載火絨安全軟件進(jìn)行自查。受影響最多的易語(yǔ)言程序，如下圖所示：

受影響的易語(yǔ)言程序

上述帶毒的易語(yǔ)言軟件都會(huì)成為病毒作者通過(guò)C&C網(wǎng)址鏈接操控的下載器病毒，從而下載執(zhí)行其他惡意代碼。被下載的惡意程序多為“白加黑”惡意病毒，前期報(bào)告中僅對(duì)感染量較大的libcef.dll病毒模塊進(jìn)行了分析，但此類病毒模塊名種類其實(shí)還有很多。經(jīng)過(guò)火絨的分析整理，可以直觀顯示病毒利用不同模塊名執(zhí)行惡意行為的相關(guān)情況。由于很多病毒文件名不具有實(shí)際意義，統(tǒng)計(jì)時(shí)以pdb名稱為準(zhǔn)，如：AutoinitApp_x64.pdb.dll。此類病毒模塊名，如下圖所示：

病毒模塊名列表

各個(gè)病毒模塊名所占感染終端數(shù)量占比，如下圖所示：?

各個(gè)病毒模塊名所占感染終端數(shù)量占比圖

上述病毒模塊包含有多種不同的病毒惡意行為，如：勒索加密、盜取用戶賬戶登錄信息等。通過(guò)火絨對(duì)病毒服務(wù)器數(shù)據(jù)進(jìn)行分析整理，病毒作者會(huì)收集以下幾類信息，且每類信息與終端ID一一對(duì)應(yīng)：

1. 終端ID

2. 系統(tǒng)版本信息、當(dāng)前系統(tǒng)登錄用戶名、系統(tǒng)登錄時(shí)間

3. CPU型號(hào)

4. 屏幕分辨率

5. IP及所屬運(yùn)營(yíng)商信息

6. 軟件安裝信息

7. 安全軟件進(jìn)程信息

8. 網(wǎng)購(gòu)賬戶登錄信息、郵箱登錄信息、QQ號(hào)登錄信息、網(wǎng)盤登錄信息等

截至目前，病毒作者共盜取登錄信息共計(jì)22442條。相關(guān)數(shù)據(jù)統(tǒng)計(jì)分析后，如下圖所示：

被盜取得登錄信息數(shù)據(jù)統(tǒng)計(jì)信息

三、溯源分析

根據(jù)前期報(bào)告中寫道，病毒代碼中的github鏈接 （hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt），我們找到了病毒作者的github主頁(yè)（hxxps://github.com/qq*6/ja*et） ，從中發(fā)現(xiàn)了病毒作者的提交記錄。如下圖所示：

病毒作者提交信息

在提交記錄中，我們切換到“d1889a4a0ceb7554982d7a924ecebe23200da94”提交 記錄中，我們發(fā)現(xiàn)在本次提交中有一個(gè)名為“new 1 – 副本.txt”的BMP圖片文件。圖片內(nèi)容，如下圖所示：

圖片文件內(nèi)容

如上圖紅框內(nèi)代碼，此時(shí)疑似病毒作者正在調(diào)試屏幕截取相關(guān)病毒功能。在任務(wù)欄中紅框所示項(xiàng)目，我們可以看到病毒相關(guān)的一些工程正在被編輯，并得到一個(gè)疑似病毒作者的姓名，通過(guò)該姓名我們找到了相應(yīng)的百度知道首頁(yè)（hxxps://zhidao.baidu.com/question/11*0859）。 如下圖所示：

百度知道首頁(yè)

該百度知道頁(yè)面中，我們找到了兩款與該作者相關(guān)的軟件：“l(fā)sy資源助手”和”LSY經(jīng)典鬧鈴v1.1”，這兩個(gè)軟件包含有作者的QQ信息和作者姓名的縮寫（Mr.l.s.y）?！癓SY經(jīng)典鬧鈴v1.1”由于未知原因無(wú)法運(yùn)行，“LSY經(jīng)典鬧鈴v1.1”相關(guān)數(shù)據(jù)信息，如下圖所示：

“LSY經(jīng)典鬧鈴v1.1”相關(guān)數(shù)據(jù)信息

“l(fā)sy資源助手”運(yùn)行截圖，如下圖所示：

“l(fā)sy資源助手”運(yùn)行截圖

在上述字符串信息中，我們可以看到阿里旺旺賬號(hào)名l******6，其中l(wèi)sy剛好符合“羅**“的漢語(yǔ)拼音縮寫。通過(guò)我們搜索阿里旺旺用戶名，我們找到相關(guān)用戶信息，發(fā)現(xiàn)該賬戶確實(shí)與2*********@qq.com相關(guān)QQ號(hào)存在聯(lián)系。相關(guān)阿里旺旺賬戶信息，如下圖所示：

賬戶信息

根據(jù)火絨截獲的病毒樣本，可以發(fā)現(xiàn)其中一個(gè)惡意URL? “http://www.my***********.top/adcheatReserved/gx.html”，通過(guò)查詢https://whois.icann.org/zh/lookup?name=www.my***********.top進(jìn)行域名反查。我們獲得了更多域名注冊(cè)者的信息，如下圖所示：

病毒作者相關(guān)信息

我們發(fā)現(xiàn)，在前面溯源中找到的QQ郵箱（1*******86）和手機(jī)號(hào)（17*******45）同時(shí)在上述信息中出現(xiàn)。我們?cè)僖浴癓SY經(jīng)典鬧鈴v1.1”軟件中出現(xiàn)的另一個(gè)QQ郵箱號(hào)“29*****@qq.com”作為線索，在支付寶使用“忘記密碼”方式獲得相關(guān)手機(jī)號(hào)，對(duì)比前文中出現(xiàn)的手機(jī)號(hào)，也有極高的相似度。相關(guān)信息，如下圖所示：

密碼找回頁(yè)面信息

另外，在之前對(duì)Bcrypt病毒家族樣本的分析過(guò)程中，曾多次在病毒服務(wù)器數(shù)據(jù)庫(kù)密碼以及解密代碼等處出現(xiàn)19*****7的數(shù)字序列，不排除該數(shù)字序列為病毒作者生日的可能性。

綜上所述，上述信息均指向同一個(gè)主體，相關(guān)信息如下：

姓名：羅**

QQ號(hào)：1*******86

手機(jī)號(hào)：1********45

生日（疑似）：19**年*月*7日

四、附錄

火絨收集到的部分受感染易語(yǔ)言程序名，如下圖所示：