96年白羊座罗生和勒索病毒的背后故事

综合技术 2018-12-08 阅读原文

图为病毒作者被捕照片

有些事从开始就注定了结局,年仅22岁的罗生(化名)可能没想到这一天来的这么快,刺激、兴奋、担忧、害怕、恐惧、麻木、坦然,仅仅5天这个年轻人可谓体会了一把“人生巅峰”。

他出于什么目的开发的病毒?

为什么他选择微信支付来作为勒索收款?

真如安全专家所述“入门小学生级”的病毒?

勒索了多少钱,有多少人因此支付索金?

图为12月4号跟病毒作者的QQ聊天记录

图为12月4号跟病毒作者的QQ聊天记录

平安东莞 :获悉省厅网警总队下发线索后,东莞网警快速反应,立即启动网络安全事件应急处置预案,调集骨干警力,对涉案线索开展排查,于12月4日22时准确摸排出嫌疑人真实身份为罗某某(男,22岁,广东茂名人),其主要在我市东坑镇活动。12月5日凌晨,东莞网警联合东坑分局连夜展开抓捕行动,经十小时连续奋战,于15时将嫌疑人罗某某抓获。

——这可能是第一个也可能是最后一个,在他被捕之前的对话。

我实在过于好奇,到底罗生是怎么样一个人,从如何学会的开发病毒,到敢正大光明的用实名微信支付作为勒索收款,然后又堂而皇之的在论坛大肆传播病毒(论坛名就是自己的QQ号)。

当他当知道自己出名了(被媒体报道),开发的病毒也被破解了,个人隐私信息被公之于众了,他该如何面对这一切?在12月4日23点寒冷的夜晚,我只等到轻飘飘的一句话:“打lol中,再见”。

同作为90后的程序员,这种种离奇现象和小说般跌宕起伏的故事,促使我想要了解真相。

微信支付勒索病毒引发关注

图为勒索病毒界面

时间回到12月月初,由火绒安全发出的一则通告在微博备受关注“国内首款勒索病毒要求微信支付”,这一事件经过微博的连续多天爆料,多篇技术文章介绍,短短1、2天,安全领域的专家就将病毒破解,并把病毒的运作原理和开发者的详细个人资料被公之于众,引发大量网友参与讨论和关注。

图为大量新闻标题

其实每天都有成千上万的病毒诞生,按常理来看一个病毒不该如此备受关注,可谁也没想到,病毒居然贴上了微信支付二维码用于勒索,而微信是家喻户晓,大家最常用的软件,而勒索病毒跟微信支付扯上关系以后,普通人对此不了解,再加以某些媒体的标题误导,大伙还以为是微信支付出了问题,因此引发大量网友关注。

图为豆瓣网传播中间页

通过分析病毒本身原理得知,主要利用了豆瓣网进行中介传播,其作恶方式不仅对用户电脑资料加密勒索钱财,还盗取电脑存储的淘宝、支付宝、百度云网盘账号密码,这样一来,牵扯到了微信、支付宝、豆瓣、百度,四大互联网公司,一个小病毒也能掀起大风浪,导致人心惶惶。

与此同时,国内的其他安全厂商也不甘示弱:腾讯安全、360安全等,纷纷发出通告文章,宣称可查杀此类病毒,推出专项反勒索工具,而腾讯更是出手迅速,毕竟QQ、微信都被人公之于众了,可谓是完全掌握用户的一手资料,再配合自家地区的警方抓捕勒索病毒作者,24小时成功破案。

安全厂商卖弄文笔借势营销

由于该病毒的原理很简单,且病毒本身也没有任何加密防护的手段,相比较同为勒索支付病毒,并且全球闻名的“永恒之蓝”病毒可就差的太远了,但即便如此,在网络安全领域,谁第一个发现,第一个解决,在行业内的声望和知名度自然不言而喻,火绒安全虽然是率先发布并公告信息,但不代表其他同行能愿意让他独享光环。

图为火绒安全CEO微博评论

瑞星安全 :为什么被称为“小学生”式勒索病毒?瑞星安全专家通过对其分析发现,该勒索病毒由易语言编写,易语言是一门以中文作为程序代码的编程语言,属于初级入门级语言,从这一点就可以看出勒索病毒作者代码水平还比较初级。

瑞星安全专家语出惊人,称该病毒为“小学生”式勒索病毒,且该病毒只排2颗星,危害较小。

瑞星安全 :病毒编写——初级。该勒索病毒由易语言编写,易语言是一门以中文作为程序代码的编程语言,属于初级入门级语言,从这一点就可以看出勒索病毒作者代码水平还比较初级。

图为瑞星专家给出的病毒等级分类

瑞星安全专家更是直接点评“易语言”为:初级入门语言,用这个语言写的代码水平比较初级。

360安全&浅黑科技 :从只有中国人才用的“小霸王学习机”易语言,到中国特色的薅羊毛软件,到通过豆瓣和QQ空间进行病毒投放,到微信支付收勒索款,再到这个22岁的青年所思考的一切。

无独有偶,在360安全专家王亮和浅黑科技史中的眼里,易语言定性为只有中国人才用的“小霸王学习机”。

易语言被评“不入流”语言

“W3Cschool :学生、工人、教师及更行业的人,使用易语言编写软件,来解决一些问题,不具有通用性,通常只能在小范围传播,不会再网上推广,用户也很少。而黑灰产业需要通过网络传播赚钱,传播范围广、用户多,影响大。所以大家也眼里通常会只有黑灰产业。对于“易语言”这个不入流的语言,你是怎么看的呢?

W3Cschool更是评易语言为:不入流的语言,且称哪怕让这些下岗工人、学生、老师这些行业的人学会了编程,写出的软件也没什么用。

先批量报毒,再单独处理误报

一个编程语言,按理说不该背这锅,可为什么大家提到它就言辞轻蔑,各种歧视接踵而来,我们的关注点不应该放在非法分子,勒索病毒,受害者等身上吗?

易语言作者 :目前杀毒软件基本上都采用“特征码”查毒技术,就是从病毒体中寻找一段“特征”数据,以后凡是看到其它文件具有这个“特征”,就认为是病毒。这种技术有着其天生的弊端:就是很难保证“特征码”的准确性和唯一性,如果正常的文件里面也碰巧有这种特征码,就会产生误报。对于易语言来说,这个弊端尤为突出。由于易语言功能强大,经常有一些不负责的用户使用它来写木马或者病毒,而杀软在这些文件里面采集特征码的时候,却采集到了易语言编译器本身所产生的正常代码上,这样就导致一产生误报,所有正常的易语言软件就会被误报!

国内几大知名安全厂商,如果说在商业上,那一定是死敌,各看各不顺眼,但是唯独对待易语言的态度却是难得的十分统一,仿佛提前商量好一般:先不管是什么程序,如果是易语言写的直接报毒。

图为360专门为易语言设立的误报反馈页面

而对用户来说,一开始,从网上下载的软件虽然被杀毒软件提示有风险,软件用不了肯定很紧张,赶紧问问周边的朋友是什么情况,然后得知,“没事,易语言写的,被误报很正常嘛”。

仍心情忐忑的点了忽略风险提醒以后,使用一阵子,发现没出什么问题嘛,当下次在遇到类似情况,一次、两次,长期以往,用户就产生了见怪不怪,对待软件报毒的懈怠。

则有了如今依靠易语言编写出来的勒索病毒的滋生环境,起初用户还以为是正常误报,可没过一会电脑被锁屏,提示需要微信支付才能解锁,这一来用户就彻底慌了,求助杀毒厂商,这才有了后来的事情。

原来,某些知名安全厂商被吹上神坛的反病毒引擎、杀毒软件,连所谓的病毒原理也无法分析清楚,以至于在未知的情况下仅能依靠概率来判断,软件与病毒的区别,甚至直接大手一挥,把某个编程语言开发的软件通通纳入病毒行列,反正是不是病毒,我告诉你有风险了,你不相信我,也不能怪我。

这次可以说是用户的不小心,下载来历不明的软件,忽略了风险提醒,那下次用户再面临网上下载的软件,是不是该继续赌运气,赌它是不是病毒误报呢?

国产编程,不是你们的垫脚石

同作为一门编程语言,C语言、.NET、JAVA、PHP,就不能开发病毒了吗?如今互联网时代,每天都会有新的电脑病毒、手机病毒、网页病毒的诞生,但为什么这些所谓安全专家从不去点评其他编程语言?

其实道理他们都懂的,开发的软件也好,病毒也好,压根不是编程语言的错,就好像谁用水果刀行凶犯法,你能去找超市理论,凭什么卖刀给他?

“但没办法呀,病毒是别家公司先破解的,技术文章道理都被他们写完了,我们总不能在后面跟风鼓掌吧,这不是助长他人威风嘛,只好踩一踩,骂一骂这个易语言,谁让你那么简单,还全中文编程,什么阿猫阿狗都能学,这么容易被人学了就能开发软件做病毒,不是给我们添乱嘛?

易语言只是一个小公司开发的产品,没什么背景和后台,很多从事易语言的开发者一直也默认了行业内误报的“潜规则”,甚至互相劝解告慰,蚂蚁斗不过大象,还是想办法怎么样多和客户解释误报吧。

我不想看着一门国产编程语言,成为某些公司用低劣的手段来博取用户口碑的垫脚石,如果说今天的易语言换成腾讯的小程序,安全领域的某些专家还敢这么言不着调的评论吗?

编程语言就是一门工具,如果因为一门语言的学习门槛低,低到坏人可以学习他拿来做坏事,反过来苛责一门编程语言,那倒不如干脆把互联网封闭,把百度关停,因为坏人利用互联网搜索学习资料更快更便捷。

​End.

一场华丽的闹剧,表演者还没来得及开始就已经宣告结束,黄牛们措手不及只好迁怒于舞台和剧场,丑态百出的事故现场,不妨碍围观群众看了一出“好戏”,而主办方则躲在角落里默默的流眼泪,全给别人做嫁衣。

简书

责编内容by:简书阅读原文】。感谢您的支持!

您可能感兴趣的

四十余款破解工具携带病毒 盗取信用卡账户等隐私信息... 一、 概述 在本次截获到的样本中,该病毒被植入在KMSpico、WindowsLoader等四十余种破解工具中,具体带毒破解工具列表如下图所示。用户一旦下载运行携带病毒的软件,就会激活病毒。 病毒“Socel...
【安全帮】东航售票网站现bug,50元机票轻松购... 摘要: 东航售票网站现bug,50元机票轻松购11月17日凌晨,有网友在购买机票时发现东方航空售票网站似乎出现了bug,广州到北京经济舱机票价格仅为60元,部分机票价格仅为50元。平时昂贵的头等舱票价也售出了“跳楼价”,据某网友透露他购买...
CrySiS勒索病毒变种来袭,你中招了吗?... 样本简介 最近接到客户举报,服务器文件被勒索软件加密,联系客户远程应急之后拿到相应的样本,判定该样本为CrySiS家族的最新变种样本。 CrySiS勒索病毒在2017年5月万能密钥被公布之后,消失了一段时间,最近又发现这类勒索病...
真实案例:某企业网络感染勒索病毒情况分析... 近日,某企业在试用"火绒终端安全管理系统"(以下简称"火绒企业版")期间,发现勒索病毒攻击。火绒工程师现场调查发现,该企业网络中竟然有两种勒索病毒流窜感染,整体情况查明后,堪称企业网络染毒的典型案例。 一、GlobeI...
英国保险组织:全球网络攻击或致530亿美元平均损失... 全球最古老的保险组织英国劳合社(Lloyd's of London)周一发布报告称,平均而言一次大规模全球性网络攻击事件可能会引发530亿美元的经济损失,这个数字与2012年美国桑迪超级飓风(Superstorm Sandy)这样的灾难性自...