“微信勒索病毒”全纪实:打扰了 我只是病毒界杨超越

2018-12-07 15:20 稿源:浅黑科技  0条评论

为了严谨,多说一句。分析了一下在真正病毒被下载之前的五个“下载器”,亮哥发现,这些下载器的代码风格和最后的病毒是一致的。这证明,下载器和最终病毒的作者是一个人。

在其中一个下载器里,作者竟然留下了自己的GitHub地址,而这个地址可就厉害了,用户名直接是:“qq1790749886”。我读书少,但怎么看这都是一个QQ号吧...而在页面里他还留下了一串字符:LSY19960417。我读书少,但这这分明就是一个名字的缩写和生日好不好...

不用你们动手,

中哥替你们搜了一下这个QQ号。

1996 年,还是个白羊座...听说白羊座做事冲动,星象大师诚不我欺啊

亮哥说,他刚开始搜到这个QQ号的时候,对方的签名还写着:“收徒,老湿傅带你写外挂。 2300 包教包会!”(当然现在已经改了)

而有一位叫做“雕哥”的热心网友,好奇加了他的QQ,他居然还没意识到发生了什么,要继续去打LOL。

当然,即使是一个病毒作者,中哥也并不提倡人肉他。不过实际上,这些信息被公开之后,广大网友已经把这位小哥的具体姓名人肉到了...具体的信息这里就不写了,我们暂且把他称为LSY吧。

至此,黑客在安全人员眼中已经遭遇了史诗级的溃败...

说到这,你一定想知道,这位黑客老湿傅究竟赚了多少钱。

当然,这个账号具体的收款详情,只有微信支付才掌握,他们并不会公布。但亮哥回忆了一个有趣的细节。

最开始,亮哥接到“报警”之后,确实有一个受害者说,他已经扫码支付了 110 块,然后,就没有然后了。

经过逆向这个病毒程序之后,亮哥发现,程序根本就没那么智能,这边付过去 110 块,那边的LSY老湿根本不知道是谁付的钱,又怎么能帮你解锁呢...。

而在亮哥尝试扫那个微信支付码的时候,这个码已经失效,因为被举报了...举报了...

怎么说呢,很可能那个付款的受害者,是第一个交赎金的,也是最后一个能交进去赎金的...这个故事告诉我们:下次遇到微信支付勒索,交智商税要趁早。磨蹭半个小时,想送钱都送不进去了。

故事讲到这里,还有一个最大的疑团没有解开,那就是:LSY老湿傅,究竟是如何把那一整套“下载病毒的指令”塞进几十款薅羊毛程序里的呢?

你可能猜不到,解开这个谜团的同时,我们顺便又打开了一个新世界的大门...

(5)神秘的组织:易语言

一个神奇的事实浮出水面:

所有传播这个勒索病毒的薅羊毛、外挂程序,都有一个惊人的特点,那就是——他们都是用“易语言”编写的。

你可能会好奇,纳尼?我听说过C语言,PHP,Java,啥叫易语言?

实话实说,中哥在一天以前,也不知道神马是易语言。

给你两张易语言编程界面你体会一下。

再来一张人们学习易语言的场景。

你应该有感觉了。易语言是一个纯中文的编程界面,对于广大没有计算机背景,但是却热爱编程的人士“相当友好”。

如果说C语言是任天堂的红白机的话,那么易语言就是——小霸王学习机。

可能你猜不到,易语言在中国有着巨大巨大的使用群体。

而在易语言的粉丝中,有一个颇为有名的论坛——精易论坛。

给你看下,精易论坛的感觉...

我为什么要花这么多时间来说易语言呢?因为,整场“微信勒索病毒”事件,其实都只发生在易语言的世界里。事情是这样的:

1、LSY老湿傅,是一个狂热的易语言爱好者,曾经用易语言做了一些有用的小工具,发在了精易论坛上。

2、 2018 年早些时候,LSY老湿傅动了歪心,他发布了一个带有病毒的小工具,但是很快被细心的网友发现了,回帖说你这个里面有病毒啊...老湿傅羞赧无比,决定回去再苦练几个月...

3、在 2018 年 11 月 15 号,老湿傅重出江湖,在精易论坛发表了一个新的小工具“小型软件在线更新方法”。这是一个易语言编程的插件。而这个插件里面,就被LSY老湿傅植入了“下载器”的恶意代码。

这个恶意代码可就厉害了——它感染的是易语言的编程程序。

也就是说,一旦下载过这个插件,用它编出来的程序,都是偷偷带有下载器功能的,软件作者并不知情。而这个下载器能用来下载什么,就是LSY老湿傅说了算了。

于是,LSY通过感染“编程语言母体”的方式,让母体编写出来的一切程序都天然带有病毒。就像那些可怕的基因疾病一样,如果母亲具有患病基因,那么孩子也会天然带有这种疾病。

于是,一场可怕的扩散就此开始。

(6)一场华丽的当众裸奔

讲真,这种攻击母体的方法,在黑客界已经非常出名。甚至它还有一个名字,叫做“软件供应链攻击”。

这种攻击非常有效,扩散起来非常迅速。但是,真正的成熟黑客,一般不会选用这种攻击方式,原因是神马呢?

没错,就是控制不住事态...

病毒干的这些事,盗取信息、勒索,本来应该是低调进行的。这就像抢劫团伙,本来应该夜黑风高之时在僻静的小胡同里,堵住一个弱小的姑娘要钱。没听说过哪个抢劫团伙到王府井地铁站,每人把守一个出口,站在安检旁边挨个要钱的...

但是,感染母体软件之后,病毒作者是没办法控制其他人用这些母体编写多少新程序出来的,病毒作者也没办法控制这些新编出来的带毒软件究竟会有多火,会有多少人使用。

这就像你打台球的时候,

把白球直接打进洞很容易,

但是用白球撞彩球进洞就更难控制准星,

如果你能让五颗球连续撞击最后进洞,那你就是世界级选手了。

换句话说,就像一个小孩子扛起了火箭炮,他对接下来发生的事情根本无法控制...。

这样一看,一切就都明白了:

““微信勒索病毒”,本来就是LSY老湿想要小范围传播的勒索软件,于是根本都没做什么伪装,还用了微信支付码,估计在他心里,预计这个病毒会感染几十人,然后其中十个人付赎金,赚个一千多块钱完事。

没想到,中国人民对于薅羊毛这件事情过于热衷,导致几万人使用了带毒的薅羊毛程序,超出了他的预料,直接惊动了中国几大杀毒软件...

事实也证明,病毒从开始传播到各大安全厂商剿灭,总共用了半天时间。但LSY老湿的蠢萌和法律意识不足,生生把一个低调的勒索病毒变成了天安门广场大型裸奔现场...

就这样,他从一个默默收徒的小黑客,摇身一变成了两天之内用两种姿势连续攻占百度搜索头条的男人...”

事情曝光之后,LSY的豆瓣页面上的最后一条攻击代码也被他换掉了,只有一行字:

“sorry!---太年轻了!”

看到这里,一种复杂的心情涌上我心头。年轻总会犯错误,但有时我们为年轻付出的代价,也许过于沉重。

以上一切信息,亮哥都在第一时间同步给了警方。从公开信息看,各大安全厂商也都把自己掌握的信息交给了警方。

就在 2018 年 12 月 6 日晚上,微博“平安东莞”发布了一条消息。没错,LSY老湿落网了...

根据警方的信息,罗某某涉嫌利用自制病毒木马入侵用户计算机,非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约 5 万余条,全网已有超过 10 万台计算机被感染。

亮哥给我讲的故事,到这里就告一段落了。

但是回望整个事件,我发现它的每一个环节,都只能发生在中国。

“从只有中国人才用的“小霸王学习机”易语言,到中国特色的薅羊毛软件,到通过豆瓣和QQ空间进行病毒投放,到微信支付收勒索款,再到这个 22 岁的青年所思考的一切。”

在川流的忙碌人群背后,有一个庞大的群体,大多数时候他们沉默着,在角落里按照自己的“规则”生存着。

他们之中,有的人赚尽荣华,坐拥香车美女;

他们之中,也有人四处挣扎,幻想致富良方。

偶尔,他们中的一员被甩到舆论的漩涡中心,被人嬉笑品评,然后黯然退场。

他们,像是中国的影子。

(再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以关注微博:@史中方枪枪@浅黑科技)

有好的文章希望站长之家帮助分享推广,猛戳这里我要投稿

相关文章

相关热点

查看更多