12月1日,我们报道了火绒、腾讯电脑管家、金山毒霸等网络安全团队先后接到用户求助:电脑遭遇勒索病毒攻击、电脑中的文件被加密。
当时,经上述安全团队分析确认,该病毒为新型勒索病毒,入侵电脑运行后,会加密用户文件。与以往不同的是该病毒并不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这是国内首次出现要求微信支付赎金的勒索病毒。
12月6日消息,火绒团队已经对该病毒进行分析、溯源,发现该病毒采用“易语言”程序编写,并植入大量“薅羊毛”的灰产软件在部分“羊毛党”论坛当中广泛散布。
部分已植入该病毒的软件(大家切勿下载)
病毒制造者还利用豆瓣等平台作为下发指令的服务器,其中1台用于存储数据的病毒服务器存放了遭入侵用户的淘宝、支付宝等账户密码两万余条。
通过病毒代码中的github链接(hxxps://raw.githubusercontent.com/qq*6/ja*et/master/upload/update_cfg.txt),火绒工程师找到了病毒作者的github主页(hxxps://github.com/qq*6/ja*et),并从中发现了病毒作者的提交记录。如下图所示:
病毒作者提交记录
据火绒团队消息,经过其进一步分析,所有涉及病毒制造者的个人信息都指向同一主体——姓名(罗**)、手机(1********45)、QQ(1*****86)、旺旺账号名(l****96)、邮箱(29*****@qq.com),其已将上述个人信息,和被窃取的受害用户支付宝密码等信息交给警方处理。
病毒作者部分个人信息
此前,火绒、腾讯电脑管家、金山毒霸等三大安全团队均在第一时间发布了解密工具提供给用户使用,但是根据“火绒威胁情报系统”为代表的监测和评估,截至12月4日晚,该病毒仍然感染了至少10万台电脑。
