360安全網(wǎng)頁(360安全網(wǎng)頁組件)

“微信支付”勒索病毒傳播始末

UNNAMED1989”微信支付”勒索病毒讓不少用戶過了一個不平靜的周末，文件無法正常打開，重要數(shù)據(jù)被加密。在用戶一籌莫展之際，360安全衛(wèi)士迅速推出了解密工具，幫用戶解決了數(shù)據(jù)被加密的難題。但病毒從何而來，以后又該如何預防呢？本文將對這個事件做一次全面分析，幫助用戶一起應對此類勒索病毒威脅。

感染原理

分析感染原理之前，我們先從此次勒索病毒的傳播源說起，在之前的報告中，我們已經(jīng)提到，受感染機器多是由于使用了“輔助外掛”，由這些外掛攜帶的木馬下載器造成的感染。那為什么會有這么多的外掛軟件同時攜帶這款病毒呢？是這些外掛作者開發(fā)了這個木馬下載器和勒索病毒么？帶著這個疑問，我們深入分析發(fā)現(xiàn)，受影響的軟件集中在易語言編寫的程序上，更進一步分析顯示，他們使用了同樣的被感染的易語言庫文件，造成編譯發(fā)布的外掛輔助軟件均被感染了本次的下載器木馬。那這些被感染的庫文件從何而來的呢，我們在網(wǎng)上找到了線索。

該帶毒模塊最初是經(jīng)由一名用戶發(fā)布到“精易論壇”的，以模塊源碼分享的名義傳播惡意模塊：

而精易論壇的管理人員也發(fā)現(xiàn)了有人利用論壇傳播木馬，對相關事件進行了處理和說明

經(jīng)分析，該代碼模塊中確實夾雜了“私貨”。使用這個模塊編譯出來的程序，會向特定目錄下釋放惡意程序：

其次，惡意模塊還會訪問兩個指定的URL網(wǎng)址：

而這兩個URL網(wǎng)址，和我們之前分析的下載者木馬所訪問的網(wǎng)絡配置文件地址相同，其內(nèi)容是被黑客加密過的配置信息（內(nèi)容現(xiàn)已被編輯）：

在木馬讀取到上述配置信息后，會到本地解密成明文的配置內(nèi)容。這其中，就含有一個名為JingYiMoKuai.ec的易語言庫文件和一個名為“krnln_static_5.7.lib”的靜態(tài)鏈接庫文件。下載器木馬會查找系統(tǒng)中的“精易模塊*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”文件，并使用網(wǎng)上下載的這兩個模塊，替換本地對應的模塊，污染這臺計算機的開發(fā)環(huán)境：

也就是說，惡意代碼的擴散并不僅僅局限于木馬自身的傳播，還會通過污染開發(fā)環(huán)境，利用其他開發(fā)者進行二次傳播，即：

1. 原始攻擊者A發(fā)布了隱藏有惡意功能的代碼模塊

2. 其他開發(fā)者B從論壇獲取了上述模塊，并加入到其開發(fā)環(huán)境中，這樣B所開發(fā)的程序就同樣帶有了惡意功能。

3. 如果B開發(fā)的一個工具被其它開發(fā)者使用，比如C，則開發(fā)者C可能會因為使用了這個開發(fā)工具也導致自己開發(fā)的軟件被感染。

4. 用戶D使用C開發(fā)的軟件時，也會遭到惡意代碼的入侵。

如上所述，即便最終的用戶D不知道原始攻擊者A，也從沒用過他的軟件。但依然難逃被其間接攻擊的命運。更形象的傳播擴散流程圖如下：

這類直接感染源代碼或代碼編譯程序手法并非首次出現(xiàn)，2015年9月，就曾出現(xiàn)過震驚世界的iOS應用感染XCodeGhost病毒的事件。由于大量蘋果開發(fā)者使用了被感染的XCode開發(fā)工具，導致眾多iOS應用攜帶了惡意代碼，盜取用戶信息。這其中甚至包括了很多幾乎所有人都會使用的一些“必備應用”，也均未能幸免。

同樣，就在上個月也發(fā)生過類似的案件——一款熱門JavaScript庫被黑客植入了惡意代碼。而使用Copay的用戶一旦訪問含有該JS庫文件的網(wǎng)頁就有可能被竊取錢包中的比特幣：

在追溯過程中我們發(fā)現(xiàn)，“微信支付”勒索病毒作者早在2017年就開始制作并傳播惡意軟件，在2018年4月已經(jīng)開始嘗試，在開發(fā)者論壇散布攜帶病毒的項目，下面是其今年攻擊過程的一個時間軸，可以看出攻擊者是做了大量準備的，經(jīng)過長時間測試后才對外正式傳播病毒。

受影響用戶

我們統(tǒng)計了這次被感染的軟件，目前共計整理出918款軟件，這個數(shù)量還在進一步增加。其中絕大部分是輔助類軟件，可以看出有大量輔助工具的開發(fā)環(huán)境中招，這也造成更多使用這些輔助工具的用戶受到威脅。

下面是部分受影響的輔助工具的文件名截圖：

我們抽取了其中的一些關鍵詞，可以據(jù)此看到被攻擊群體的一些特點：

完整的列表可以到360官網(wǎng)搜索此文章標題，點擊文章中鏈接下載。

主要危害

木馬下載器

無論是惡意易語言代碼模塊，還是被感染的應用程序。都會進一步下載更多的惡意軟件到受害用戶機器中執(zhí)行。其工作流程如下圖：

在傳播的最后階段，木馬母體會通過讀取網(wǎng)絡配置文件的形式獲取包括MySQL、FTP、自身更新地址以及病毒分發(fā)列表等一系列信息：

這其中的downURL22字段所對應的地址，就是后續(xù)的“病毒木馬大禮包”。

而在配置文件中所給出的FTP服務器中，我們看到了與前文中所寫的Github中相同的配置文件：

其內(nèi)容如下：

同時，分析人員還在里面發(fā)現(xiàn)了部分木馬源碼，使用了與此木馬相似的C&C服務器：

信息竊取/源碼竊取

此外，同樣在配置文件中給出的MySQL數(shù)據(jù)庫目前已無法連接。我們目前無法獲知其中的具體數(shù)據(jù)內(nèi)容。但根據(jù)木馬母體中的代碼可以看出，該母體會與MySQL數(shù)據(jù)庫保持通信，并獲取其中的指令信息。在獲取到指令后，會根據(jù)指令進行對應的操作，功能列表如下：

其中文件回傳功能，很可能被用來竊取開發(fā)者的源代碼。

勒索病毒

回到核心的“病毒木馬大禮包”中來：這其中最主要的當然就是我們的主角“UNNAMED1989”勒索病毒了。其相關分析和具體危害本文不再重復，有興趣可以移步我們之前發(fā)布的報告中《勒索病毒“UNNAMED1989”中招用戶有解了！》

盜號木馬

除了本次事件的主角之外，在“大禮包”中還包含了一款盜號木馬。經(jīng)過我們分析，該木馬會試圖竊取支付寶、京東、163郵箱、微博、百度網(wǎng)盤、QQ、天貓、阿里旺旺、酷狗、迅雷、百度云等的賬號密碼。

首先，該木馬會初始化要竊取信息所需的字符串：

完成后，木馬會遍歷進程，找到AliIM.exe，AliWorkbench.exe，360chrome.exe等進程：

一旦找到這些進程，會進一步查找其窗口，并通過GetGetWindowTextA獲取窗口標題欄的內(nèi)容：

木馬此時會將獲取到的窗口標題與之前的字符串進行匹配，并發(fā)送到MySQL數(shù)據(jù)庫中。

此外，木馬還專門針對支付寶的界面設計了定制化的盜號方案。該方案與我們熟知的QQ粘蟲類似（我們就叫它“支付寶粘蟲”好了）——會在出現(xiàn)支付寶支付界面時，創(chuàng)建一個編輯框貼在原本的支付寶支付密碼輸入框上面。這樣一來，用戶輸入的支付密碼實際上是輸入到了木馬創(chuàng)建的虛假支付框中。用戶輸入完密碼，密碼也就被發(fā)送到了黑客的手中：

處置方法

對于開發(fā)者

360安全衛(wèi)士已經(jīng)可以對該木馬帶來的“易語言模塊被感染”問題進行修復。有易語言開發(fā)環(huán)境并疑似被感染的開發(fā)者，可以使用360安全衛(wèi)士進行掃描查殺。

對于用戶

如果已安裝了360安全衛(wèi)士的用戶，只要確認360安全衛(wèi)士實在正常運行的就不必擔心。360安全衛(wèi)士可正常攔截查殺該類木馬。

如果未安裝360安全衛(wèi)士或之前將惡意程序添加信任中招的用戶，可安裝360安全衛(wèi)士進行掃描查殺，徹底清除病毒。同時 “360解密大師”也已支持對該勒索病毒的解密：

預防方案

分析并復盤此次勒索病毒傳播的始末，我們提出如下一些關鍵點需要大家格外留意：

1. 軟件開發(fā)人員更要留意計算機安全問題，因為軟件源文件被感染，造成整個軟件產(chǎn)品被植入惡意代碼的事件時有發(fā)生，而受危害的往往是數(shù)量龐大的軟件用戶。軟件開發(fā)者應該從正規(guī)渠道下載編譯工具及開發(fā)環(huán)境相關文件，以免下載到被污染的開發(fā)文件，影響整個工程環(huán)境。

2. 無論是開發(fā)者還是普通用戶，都應安裝安全軟件并確保其正常運行，保護計算機安全。

3. 作為普通用戶，應該從正規(guī)渠道獲取軟件，同時做到不在安全軟件退出的情況下使用來源不明的軟件。

4. 重要數(shù)據(jù)要及時備份。如果有條件，盡可能分開備份，以免備份數(shù)據(jù)與原始數(shù)據(jù)被同時加密或刪除。

5. 請相信安全軟件的判斷結果！切勿相信某些軟件聲稱自己是被誤報的論調(diào)。發(fā)現(xiàn)感染勒索病毒后，可以第一時間聯(lián)系360互聯(lián)網(wǎng)安全中心。