所謂的“‘微信支付’勒索病毒”相信這兩天已經(jīng)讓很多人人心惶惶了。

　　我們先來(lái)簡(jiǎn)單看一下經(jīng)過(guò)，12 月 1 日，火絨安全實(shí)驗室發(fā)布報告稱(chēng)，近期火絨團隊接到用戶(hù)反饋，使用“微信二維碼掃描”進(jìn)行勒索贖金支付的勒索病毒 Bcrypt 正在大范圍傳播——該病毒為新型勒索病毒，入侵電腦運行后，會(huì )加密用戶(hù)文件，但不收取比特幣，而是要求受害者掃描彈出的微信二維碼支付 110 元贖金，獲得解密鑰匙，這也是國內首次出現要求微信支付贖金的勒索病毒。

　　病毒作者謊騙用戶(hù)稱(chēng)“因密鑰數據較大如超出個(gè)這時(shí)間(即 2 天后)服務(wù)器會(huì )自動(dòng)刪除密鑰，此解密程序將失效”，但實(shí)際解密密鑰存放在用戶(hù)本地，在不訪(fǎng)問(wèn)病毒作者服務(wù)器的情況下，也完全可以成功解密。

　　根據火絨實(shí)驗室的研究，該病毒的傳播路徑是：

　　Bcrypt 勒索病毒通過(guò)供應鏈污染的方式正在進(jìn)行大范圍傳播，病毒制造者利用豆瓣等平臺當作下發(fā)指令的C&C服務(wù)器，植入被大量開(kāi)發(fā)者使用的“易語(yǔ)言”編程程序，進(jìn)而植入他們編寫(xiě)的各種軟件產(chǎn)品，所有使用這些軟件產(chǎn)品的電腦都可能被感染?；钴S的染毒軟件超過(guò) 50 款，其中多數是“薅羊毛”類(lèi)灰色軟件。

　　病毒會(huì )借助被感染的易語(yǔ)言編譯環(huán)境為跳板，之后病毒會(huì )通過(guò)從被感染環(huán)境編譯出的易語(yǔ)言程序在互聯(lián)網(wǎng)中大范圍擴散。此類(lèi)受影響的易語(yǔ)言程序眾多，其中還包含有一些易語(yǔ)言程序下載平臺(如：萬(wàn)軟平臺、賺客吧等)。易語(yǔ)言開(kāi)發(fā)人員開(kāi)發(fā)環(huán)境被感染后，編譯出帶毒的易語(yǔ)言程序，再上傳到各大程序下載平臺上供用戶(hù)下載，從而使病毒在更廣的范圍內進(jìn)行傳播。

　　12 月 2 日，火絨團隊表示該勒索病毒已被其成功破解，并發(fā)布了解密工具。

　　隨后，騰訊管家和支付寶等均發(fā)表了聲明。

　　騰訊管家表示，微信已第一時(shí)間對所涉勒索病毒作者賬戶(hù)進(jìn)行封禁，收款二維碼予以緊急凍結，微信用戶(hù)財產(chǎn)和賬戶(hù)安全不受任何威脅。

　　支付寶則表示已第一時(shí)間跟進(jìn)，目前沒(méi)有一例支付寶賬戶(hù)受到影響，并表示針對此類(lèi)風(fēng)險支付寶風(fēng)控系統早有針對性的防護，包括二次校驗短信校驗碼、人臉識別等。即便密碼泄露，也能最大程度的確保賬戶(hù)安全。

　　支付寶的工作人員還告訴虎嗅：“不管用戶(hù)是因為中了木馬泄露了密碼，還是其他網(wǎng)站被拖庫后黑灰產(chǎn)來(lái)撞庫，對于支付寶風(fēng)控系統來(lái)講，都屬于密碼泄露類(lèi)風(fēng)險，密碼已不足以做核身。密碼泄露是互聯(lián)網(wǎng)上歷史悠久的風(fēng)險，我們的風(fēng)控很早就覆蓋了這類(lèi)風(fēng)險。就算你的密碼泄露了，我們的風(fēng)控也能做好保護。萬(wàn)一還是被盜了，我們會(huì )全額賠付。”

　　12 月 5 日，火絨安全實(shí)驗室再次發(fā)布公告稱(chēng)，根據“火絨威脅情報系統”監測和評估，截至 4 日晚，該病毒至少感染了 10 萬(wàn)臺電腦，不光鎖死電腦文件，還竊取了數萬(wàn)條淘寶、支付寶等平臺的用戶(hù)密碼等信息。

　　目前，火絨團隊發(fā)現所有相關(guān)信息都指向同一主體：姓名(羅**)、手機(1********45)、QQ(1*****86)、旺旺賬號名(l****96)、郵箱(29*****@qq.com)?；鸾q已將上述個(gè)人信息，和被竊取的受害用戶(hù)支付寶密碼等信息，一并交給警方。

　　關(guān)于這件事兒，基本上就是上面的情況，盡管感染了 10 萬(wàn)多臺電腦，但所幸沒(méi)有造成用戶(hù)的財產(chǎn)損失。

　　接下來(lái)，我覺(jué)得有幾點(diǎn)是需要厘清和反思的。

　　第一，這個(gè)事兒暴露了黑產(chǎn)、灰產(chǎn)是一個(gè)多么龐大的產(chǎn)業(yè)鏈，我們來(lái)簡(jiǎn)化一下它的傳播路徑：病毒編寫(xiě)者 - 編程軟件 - 應用軟件 - 用戶(hù)。而根據火絨軟件追蹤到的，這些被感染的軟件都是一些薅羊毛類(lèi)的灰產(chǎn)軟件。所以本質(zhì)上是一個(gè)黑吃黑的事件。

　　在接受虎嗅采訪(fǎng)時(shí)，騰訊安全實(shí)驗室負責人 TK 分析認為：“從現有的報告來(lái)看，這跟當年的熊貓燒香差不多。你說(shuō)為什么這么傳播廣，寫(xiě)易語(yǔ)言程序的人，他寫(xiě)的程序本身是會(huì )被殺毒軟件干掉的，黑產(chǎn)或灰產(chǎn)的程序本身就是這些人寫(xiě)的，會(huì )被很多殺毒軟件查殺，所以他們(被感染的這些)自身也不會(huì )裝這些殺毒軟件。”所以這些人開(kāi)發(fā)的薅羊毛軟件被感染了病毒而不自知。

　　這件事兒本質(zhì)上一個(gè)違法犯罪分子利用了另一群違法犯罪分子的軟件漏洞進(jìn)行違法犯罪，如果沒(méi)有這次的時(shí)間，我們可能很難具象地感知到黑產(chǎn)、灰產(chǎn)這條產(chǎn)業(yè)鏈有多大，這次讓我們得以明確窺見(jiàn)其冰山一角。也建議警方借此機會(huì )順藤摸瓜，看是否能牽出一條灰產(chǎn)、黑產(chǎn)產(chǎn)業(yè)鏈。如果僅是抓獲病毒作者，這事兒的意義就大打折扣了。

　　第二，感謝火絨安全實(shí)驗室發(fā)現并報告、追蹤了該病毒的存在，并及時(shí)上報、破解，幫助用戶(hù)及時(shí)止損，也提醒了支付寶、微信支付和各種殺毒軟件迅速采取措施，但火絨實(shí)驗室從 2 日開(kāi)始的幾次報告都直接把 Bcrypt 病毒稱(chēng)為“微信支付勒索病毒”，是不嚴謹的、不科學(xué)的。

　　用戶(hù)只是另辟蹊徑地選擇了“微信支付”，并且也非常體貼，只收 110 元(跟報警電話(huà)一樣的數字，很難說(shuō)這不是病毒作者向警方挑釁或戲謔)，就把這個(gè)病毒跟微信支付緊密地團結在一起，會(huì )誤導用戶(hù)是微信支付出現了重大的安全漏洞。而實(shí)際上正如火絨實(shí)驗室在報告中所言：“火絨團隊的分析表明，微信支付、支付寶和豆瓣等平臺，均與該病毒的傳播和作惡沒(méi)有直接關(guān)系，也沒(méi)有發(fā)現有系統漏洞被利用。”

　　所以既然這個(gè)事兒跟微信支付沒(méi)什么關(guān)系，還是希望如此嚴謹的安全團隊在報告的時(shí)候就別用“微信支付勒索病毒”這個(gè)錯誤的表述了，否則使用微信支付的中國用戶(hù)有幾億人，這是多大的恐慌?別好心辦壞事兒。

　　第三，對普通用戶(hù)的一點(diǎn)提醒：遇到這種事兒，別付款，趕緊報警。
　?。?a href="http://www.wxlp666.cn">邯鄲網(wǎng)站建設）