勒索病毒又来了！这回玩“黑吃黑”

羊城晚报记者 马化展

勒索病毒又来勒索了。12月4日，信息安全公司火绒安全实验室发布消息称，近日爆发的“微信支付”勒索病毒愈演愈烈，边勒索边窃取支付宝密码等。对此，腾讯方面表示，已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结；蚂蚁金服方面表示，对此类风险早有防范。有业内人士表示，此次的勒索病毒造成的影响有限，但是勒索病毒本身难以完全根治，用户需多加防范。

勒索病毒出新招数

12月1日，火绒安全实验室客服接到若干用户求助，遭遇勒索病毒攻击。火绒安全团队分析确认，该病毒为新型勒索病毒，入侵电脑运行后，会加密用户文件，但不收取比特币，而是要求受害者扫描弹出的微信二维码支付110元赎金，获得解密钥匙，这也是国内首次出现要求微信支付赎金的勒索病毒。该勒索病毒加密文件后弹窗提示，用户需在今年12月3日之前交付赎金解密，如果超出时间，则服务器会自动删除密匙。对此，火绒建议微信团队调查该支付页面的用户信息，或提供给公安部门。

其实，同在1日，腾讯安全管家也接到若干用户求助，遭遇勒索病毒攻击。据查，该新型勒索病毒通过加密电脑上的doc、jpg等常用文件，然后利用微信支付二维码进行勒索赎金。腾讯方面表示，微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结，而微信用户财产和账户安全不受任何威胁。

但是，根据火绒安全实验室4日发布的信息，这一新型勒索病毒，正在快速传播，感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的C&C服务器，除了锁死受害者文件勒索赎金（支付通道已经关闭），还大肆偷窃支付宝等密码。首先，该病毒巧妙地利用“供应链污染”的方式进行传播，目前已经感染数万台电脑，而且感染范围还在扩大；其次，该病毒还窃取用户的各类账户密码，包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。火绒安全实验发布的数据显示，截止到12月3日，已有超过两万用户感染该病毒，并且被感染电脑数量还在增长。

对此，支付宝安全中心表示，已第一时间跟进，目前没有一例支付宝账户受到影响。针对此类风险，支付宝风控系统早有针对性的防护，包括二次校验短信校验码、人脸识别等。即便密码泄露，也能最大程度地确保账户安全。豆瓣方面则表示：“经查，有网络病毒制造者利用豆瓣日记等互联网服务，记录软件配置信息（纯加密字符）。我们发现后，已第一时间将该文档删除、账号封禁。接下来，豆瓣会核查该账号信息，配合公安机关依法依规进行处理。”

普通用户受影响可能性小

勒索病毒自从2017年出现以来，在不同时期以不同方式，为用户带来了很大危害。通常这种病毒会利用各种加密算法对文件进行加密，而被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

对于此次新型勒索病毒，有火绒工程师表示，通过勒索病毒的界面信息都是中文，病毒或为国人制作，并使用不匿名的微信收取赎金，行为十分猖獗。而腾讯电脑管家技术专家李铁军则认为：“这可能是新手所为，加密相对简单。而从病毒传播渠道分析出，病毒伪装成黑灰产从业者常用的工具，而当他们使用这些工具时，就会中毒。”

也就是说，此次勒索病毒可更多理解为“黑吃黑”。李铁军发来了该勒索病毒假冒的黑灰产工具清单并表示，黑灰产从业者使用的软件经常会被杀毒软件报毒，而他们习惯了这些提示，往往会不在乎杀毒软件的安全警告，这也是他们容易中招的原因。

此次事件，令不少App用户担忧自己的账号是否安全。李铁军向记者表示，一些文章在提及此事时并未讲得很清楚，应该来说，此次的新型勒索病毒，相比黑灰产从业者，普通用户由于基本不会去用这些软件，因而极少会受影响。但需提醒的是，建议用户注意杀毒软件的提示信息，不要轻易相信某些网站建议用户关闭杀毒软件的提示。腾讯方面也表示：“我们提醒广大用户，该勒索病毒可能通过任何形式的支付方式索要转账，若遭遇勒索，不要付款，及时报警。同时，腾讯电脑管家提供解密工具和人工服务，协助用户处理相关情况。”

至于勒索病毒本身，李铁军认为难以根治，“除非币圈完全崩了”。“这个产业可以通过币圈直接变现，这是最短的变现路径，而且能解密的极少，虽然此次勒索病毒不是如此，建议用户通过杀毒软件多加防范。”李铁军说。