小心微信支付“勒索病毒”！超10万用户中招，一95后被抓

除加密受害者文件勒索赎金外，据火绒安全团队介绍，这款病毒还会偷窃用户的各类账号，包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。网络安全专家提醒，被感染的用户尽快修改上述平台密码。 

勒索病毒通过微信二维码支付

在国内尚属首次

尽管此次勒索病毒来势汹汹，但目前国内已有多家网络安全公司表示，已完成病毒破解，连夜发布了相关工具，可最大限度帮助已中招的网友查杀病毒，并修复被加密破坏的文件。 

此外，南都记者从腾讯方面了解到，涉及勒索收款的账户已于12月2日晚已被列入异常名单遭到封禁、收款二维码予以紧急冻结。“微信支付用户财产和账户安全不受任何威胁，”腾讯相关负责人告诉南都记者，勒索者是用二维码收款，而非微信支付出现漏洞。 

与此前席卷全球的“WannaCry”，勒索者通过比特币收取赎金不同，此次勒索病毒是通过微信二维码支付，在国内尚属首次。 

腾讯电脑管家技术专家李铁军告诉南都记者，从多个用户机器提取和后台数据数据追溯看，该勒索病毒的传播源是一款叫 “账号操作 V3.1”的易语言软件，可以直接登录多个聊天帐号实现切换管理。 

“易语言”是软件开发者用以编程的一个模块，一旦软件携带了该勒索病毒，那么经用户下载后，用户的电脑就会中招。火绒安全团队发布的一篇解析文章指出，病毒制作者将豆瓣等平台当作下发指令的C&C服务器，该团队通过解密下发的指令发现，已有数万条涉及多个平台的账号信息被病毒作者秘密收取。 

12月4日，支付宝安全团队回应此事，该勒索病毒仅出现在PC端，被感染的电脑会记录键盘行为，获取用户在给类平台输入的密码信息，建议用户及时安装安全软件查杀病毒。 

支付宝安全中心微博回应。

支付宝方面表示，目前尚未收到支付宝账户受影响的用户反馈。即使密码泄露，也能最大程度确保账户安全。因为该公司的风控系统有针对性防护措施，包括二次校验短信校验码、人脸识别等。如果出现小概率事件的账户被盗，用户也会得到全额赔付。 

如何防范？

国家互联网应急中心提醒广大用户及时采取如下措施进行防范：

1、安装并及时更新杀毒软件，目前市场主流反病毒软件都已支持针对该勒索病毒的防护与查杀。

2、不要轻易打开来源不明的软件，该勒索病毒通过易语言编写的程序传播，减少使用来源不明的软件可有效预防。

3、如已经感染勒索病毒，可使用相关解密工具尝试解密。目前，许多公司已经针对该勒索病毒开发了解密工具，包括火绒Bcrypt专用解密工具、腾讯电脑管家“文档守护者”、360安全卫士“360解密大师”等。（解密工具链接附后）

4、已感染勒索病毒的用户，在清除病毒后，尽快修改淘宝、天猫、支付宝、QQ等敏感平台的密码。

5、定期在不同的存储介质上备份计算机中的重要文件。

 

附：解密工具

https://www.huorong.cn/info/1543706624172.html（火绒Bcrypt专用解密工具）

https://guanjia.qq.com/news/n3/2444.html（腾讯电脑管家“文档守护者”）

http://www.360.cn/n/10496.html（360安全卫士“360解密大师”）

花几小时找到勒索病毒作者

正在打LOL

360互联网安全中心安全研究员王亮告诉南都记者，勒索病毒作者在病毒代码里面留下了一些能关联到身份的信息，比如病毒中内嵌的GitHub的链接中有他的QQ号码，使用的SQL服务器登录口令也包含了作者的姓名简写和生日等。

“再结合网络留下的信息能够相互印证，也就定位到了具体的作者。整个过程并不复杂，几个小时就完成了。”据王亮介绍，在掌握这些线索之后，他们已经将相关信息提交给警方和主管部门了。

南都记者了解，目前勒索病毒作者姓名、电话号码、邮箱、百度云账号、生日等信息均可知。4日晚，微博网友“雕哥创始人”晒出的两张与勒索病毒作者的聊天截图显示，对于别人知道他真名和QQ号，今年22岁的罗某表示意外，并称“打LOL中，再见。”

图自微博网友“雕哥创始人”。

22岁犯罪嫌疑人已被刑拘

12月6日晚间，平安东莞官方微博发布通报称，日前备受关注的新型勒索病毒案告破，犯罪嫌疑人罗某今年22岁，广东茂名人。对于制作新型勒索病毒一事，罗某表示供认不讳。

据警方通报，东莞网警支队获悉省厅网警总队下发的线索后，于12月4日22时确定罗某某的真实身份，并在12月5日15时将其抓获。至此，该案在24小时内火速侦破，抓获病毒研发制作者１名，缴获木马程序和作案工具一批。

经审讯，嫌疑人罗某供述今年6月，他自主研发出病毒“cheat”，用于盗取他人支付宝账号密码，进而以转账方式盗取资金。同时，他制作内含“cheat”木马病毒代码的某开发软件模块，在互联网上发布，致使全网超过10万台计算机被感染。过程中，他因此非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条，

据悉，嫌疑人罗某已被警方依法刑事拘留，案件正在进一步审理中。

北京市京师律师事务所律师王琮玮告诉南都记者，制作和传播病毒行为涉嫌非法提供侵入和控制计算机信息系统罪、非法获取计算机信息系统罪、破坏计算机信息系统罪等。

根据刑法第286条规定，故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

南方都市报（nddaily）原创报道

南都记者 李玲