12月1日爆发的“微信支付”勒索病毒传播速度极快,被感染电脑数量不断增加。病毒团伙入侵并利用豆瓣的C&C服务器。除了锁定受害人的文件以勒索赎金(支付通道已关闭)外,他们还大肆窃取支付宝等密码。首先,该病毒巧妙地利用“供应链污染”方式进行传播,已感染数万台电脑,且感染范围还在不断扩大;一、概述其次,该病毒还窃取各种用户账号密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。其次,该病毒还窃取了各种用户账号密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等。火绒团队强烈建议受感染用户,除杀毒和锁定文件解密外,尽快更改上述平台的密码。图:日均感染数,高达13134台(从病毒服务器获取的数据)据火绒安全团队分析,病毒作者首先攻击了软件开发者的电脑,感染了“易语言”中的一个模块用于编程。因此,所有开发者使用“易语言”编写的软件都带有勒索病毒。广大用户下载这些“中毒”软件后,就会感染勒索病毒。整个传播过程非常简单,但通过污染“易语言”再感染软件的方式比较少见。截至12月3日,已有超过2万名用户感染该病毒,受感染电脑数量还在不断增加。图:供应链污染过程另外,火绒安全团队发现,病毒制作者利用豆瓣等平台作为C&C服务器下发指令。火绒安全团队对发布的指令进行解密后,获取了其中一台病毒后台服务器,发现病毒作者偷偷收集了上万条淘宝、天猫等账号信息。2、样本分析近日,火绒网追踪到,利用微信二维码扫描支付赎金的勒索病毒Bcrypt在12月1日前后大范围传播,短时间内感染用户数量激增。通过火绒溯源分析发现,病毒之所以能够在短时间内大规模传播,是因为病毒通过供应链污染传播。病毒运行后会感染易语言核心静态库和精易模块。因此,所有感染病毒后编译的易语言程序都会带有病毒代码。供应链污染流程图,如下图:Supplychainpollutionflowchart编译环境被感染后插入的恶意代码插入到易语言模块中,如下图:在精易模块中的easy-恶意代码在被感染的编译环境中编译出的语言程序会被添加病毒下载代码。首先会通过HTTP请求获取一组加密的下载配置,然后根据解密后的URL将病毒文件下载到本地执行。如上图红框所示,下载并执行的是一组“白加黑”的恶意程序,其中svchost就是之前报道中提到的白色文件。运行后svchost会加载并执行libcef.dll中存储的恶意代码。下载并执行病毒相关代码,如下图所示:病毒代码中请求下载病毒相关代码的URL包含豆瓣链接和github链接,两者内容相同,只有豆瓣链接被用作示例。如下图所示:将请求的网页内容的上述数据解密后,可以得到一组下载配置。如下图:解密下载配置对相关代码进行解密,如下图:解密后的代码可以通过配置中的下载地址下载到数据文件中,数据文件分为两部分:一个JPG格式的图片文件和一个病毒Payload数据。数据文件,如下图所示:数据文件libcef.dlllibcef.dll中的恶意代码执行后,首先会请求一个豆瓣网站链接(https://www.douban.com/note/69*56/).与病毒在被感染的易语言编译环境中插入病毒代码的逻辑相同,恶意代码可以利用存储在豆瓣链接中的数据,对数据进行解密,得到一组下载配置。解密后的下载配置如下图:Downloadconfiguration下载代码,如下图:下载截获的有效恶意代码数据包含易语言核心静态库和用于感染易语言编译环境的精易模块.另外,下载的Payload文件中还包含一个Zip压缩包。结合病毒代码中包含的一般下载逻辑,此处的Zip压缩包可能被替换为任意病毒程序。由于病毒作者采用供应链污染的传播方式,导致相关病毒感染数量成倍增长。相关代码,如下图所示:定位Payload压缩包所在位置并回写文件通过筛选豆瓣链接中存储的加密下载配置数据,我们发现在另一个豆瓣链接(https://www.douban.com/note/69*26/)存放了本次通过供应链传播的勒索软件Bcrypt。下载配置,如下图所示:下载配置在病毒模块JPG扩展名后,我们用“_”标记勒索病毒释放时的实际文件名。最终下载的勒索病毒压缩包目录如下图所示:勒索病毒压缩包目录情况三、病毒相关数据分析火绒通过加密数据对病毒作者使用的两台电脑进行了解密存储在许多URL中。MySQL服务器的登录密码。我们成功登录了其中一台服务器,通过访问数据库,我们发现通过供应链下载的病毒功能模块:至少包括勒索病毒、黑客木马、色情播放软件等。我们还发现了通过上传的键盘记录信息服务器中的被黑木马包括:淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等,共计2万多个。我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据。通过仅分析一台服务器的数据,我们统计出总共感染了23081个病毒(截至12月3日下午的数据)。日均感染率,如下图:日均感染率与总感染数统计图,如下图:总感染数现在Tinder可以杀这种被感染的易语言库文件,请安装易语言编译器环境开发者下载安装火绒安全软件,对整个系统进行扫杀。查杀截图,如下图:火绒查杀截图4.附录样本SHA256:
