根透露截至12月6日,已有超過十萬用戶感染該病毒,並且被感染電腦數量還在增長,除了加密用戶電腦文件外,還大肆竊取支付寶等密碼。該病毒是通過攻擊軟件開發者的電腦,感染其用以編程的“易語言”中的壹個模塊,導致開發者所有使用“易語言”編程的軟件均攜帶該勒索病毒。廣大用戶下載這些“帶毒”軟件後,就會感染該勒索病毒。整過傳播過程很簡單,但汙染“易語言”後再感染軟件的方式卻比較罕見。
那麽易語言什麽呢?易語言是壹門以中文字符作為程序代碼的編程語言,其以“易”著稱,方便中國人以中國人的思維編寫程序,極大的降低了編程的門檻和學習的難度。從2000年以來,易語言的用戶數量已經發展到較大的規模。
360安全專家追蹤發現,該勒索病毒的源頭來自於壹款易語言的開發模塊被插入惡意代碼,程序猿用此開發模塊編譯的軟件都自動裝入了病毒。目前證實,有大量的外掛工具、刷量軟件、打碼軟件、私服等第三方開發的應用程序已經中招。
病毒代碼依靠“白加黑”方式被調用,用於調用病毒代碼的是帶有有效騰訊數字簽名的白文件,由於該程序在調用動態庫時,未檢測被調用者的安全性,所以造成名為libcef.dll的病毒動態庫被調用,最終執行惡意代碼。
隨後通過QQ、QQ群***享、網盤分享、論壇貼吧等形式將這些“高危”應用程序發送給受害者。受害者運行後機器上就會感染下載器木馬,之後再由下載器木馬安裝其它惡意程序,這其中就有鬧得沸沸揚揚的“微信支付”勒索病毒。
該工具為灰色產業從業人群使用的工具,這部分人群使用的工具有許多會被殺毒軟件查殺,他們常常會無視殺毒軟件的攔截提示。因而,這個勒索病毒針對灰產從業者的定向傳播十分奏效。
值得註意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實則為簡單異或加密,且解密密鑰相關數據被存放在%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者服務器的情況下,也可以成功完成數據解密。不過,仍然建議使用“易語言”模塊的開發者盡快進行病毒查殺,普通用戶應盡量從正規渠道下載軟件。正規的軟件開發者在軟件發布前進行全面的安全檢查,並使用代碼簽名證書對軟件進行數字簽名,防止軟件被勒索病毒惡意篡改。
使用數安時代GDCA代碼簽名證書就能防止軟件被惡意勒索病毒篡改,保護網站安全。如果用戶遇到的問題不能解決,可通過數安時代GDCA官網客服尋求幫助,選擇數安時代GDCA SSL證書的網站用戶,數安時代GDCA可提供免費壹對壹的代碼簽名證書技術部署支持,免除後顧之憂.