微信支付勒索病毒愈演愈烈 边勒索边窃取支付宝密码

下载代码，如下图所示：

下载截取后的有效恶意代码数据中，包含有用于感染易语言编译环境的易语言核心静态库和精易模块。除此之外，下载的Payload文件中还包含有一个Zip压缩包，配合在病毒代码中所包含的通用下载逻辑，此处的Zip压缩包可能被替换为任意病毒程序。因为病毒作者使用供应链污染的传播方式，导致相关病毒感染量呈指数级增长。相关代码，如下图所示：

通过筛查豆瓣链接中存放的加密下载配置数据，我们发现在另外一个豆瓣链接( https://www.douban.com/note/69 *26/)中存放有本次通过供应链传播的勒索病毒Bcrypt。下载配置，如下图所示：

我们在病毒模块JPG扩展名后，用"_"分割标注出了勒索病毒被释放时的实际文件名。最终被下载的勒索病毒压缩包目录情况，如下图所示：

三、病毒相关数据分析

火绒通过病毒作者存放在众多网址中的加密数据，解密出了病毒作者使用的两台MySQL服务器的登录口令。我们成功登录上了其中一台服务器，通过访问 数据库 ，我们发现通过该供应链传播下载的病毒功能模块：至少包含有勒索病毒、盗号木马、色情播放软件等。

我们还在服务器中发现被盗号木马上传的键盘记录信息，其中包括：淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等共计两万余条。

我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据，通过仅对一台服务器数据的分析，我们统计到的病毒感染量共计23081台(数据截至到12月3日下午)。

日均感染量，如下图所示：

感染总量统计图，如下图所示：

现火绒已经可以查杀此类被感染的易语言库文件，请装有易语言编译环境的开发人员下载安装火绒安全软件后全盘扫描查杀。查杀截图，如下图所示：

四、 附录

样本SHA256：

【编辑推荐】

1. 老司机带你攻破微信消息防撤回功能
2. 打开手机这个隐藏功能，你的微信、支付宝再也不会被盗刷！
3. 2018开年，微信、支付宝给我们上了安全的一课
4. 玩微信“跳一跳”我竟然领悟了渗透攻击与测试的诀窍！
5. 可怕！微信支付被曝漏洞，危害不只是“0元也能买买买”！

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!