Ransomware yang mengharuskan korban menggunakan "WeChat Pay" untuk membayar tebusan telah diretas, dan pengguna yang terinfeksi dapat mengunduh perangkat lunak keamanan untuk mendekripsi mereka di komputer mereka.
Pada tanggal 5 Desember, wartawan The Paper mengetahui dari beberapa perusahaan cybersecurity bahwa mereka awalnya mengidentifikasi pembuat virus tersebut. Tersangka adalah seorang laki-laki kelahiran tahun 1995 dengan nama keluarga Luo, yang telah melimpahkan informasi tersebut kepada polisi. Pusat Darurat Keamanan Internet Nasional telah mengeluarkan pemberitahuan tentang virus tersebut. Pakar industri telah menganalisis bahwa jumlah virus ransomware telah meningkat pesat dalam beberapa tahun terakhir dan memiliki dampak yang luas, tetapi tingkat banyak virus ransomware tidak terlalu tinggi.
Sebelumnya, pada 1 Desember lalu, ransomware jenis baru merebak di China.Beberapa pengguna mengaku komputernya terinfeksi virus yang menggunakan kode pindai ponsel sebagai saluran pembayaran tebusan.
Pada tanggal 5 Desember, menurut laporan dari Pusat Tanggap Darurat Keamanan Internet Nasional, virus itu menyebar menggunakan metode "infeksi rantai pasokan". Perangkat lunak pemrograman "bahasa mudah" yang ditanamkan dengan virus disebarkan melalui forum, dan kemudian perangkat lunak yang dikembangkan oleh berbagai pengembang ditanamkan dan disebarkan. Virus pemerasan; pada saat yang sama, virus juga mencuri kata sandi akun pengguna, termasuk Taobao, Tmall, Alipay, QQ, dll.
Virus ransomware tidak akan memeras Bitcoin setelah menginfeksi komputer pengguna. Sebagai gantinya, ia akan memunculkan kode QR pembayaran WeChat dan meminta pengguna yang terinfeksi untuk menggunakan WeChat untuk membayar 110 yuan guna mendapatkan kunci dekripsi. Ini adalah pertama kalinya pembayaran WeChat diperlukan di China. virus.
Saat ini, tim Tencent WeChat telah memutuskan bahwa kode QR pembayaran telah melanggar aturan, akun pembuat ransomware yang terlibat telah diblokir, dan kode QR pembayaran telah segera dibekukan. Selain itu, WeChat menekankan bahwa ransomware ini adalah virus komputer dan tidak ada hubungannya dengan ponsel, dan tidak ada virus di WeChat. Tidak peduli itu ponsel Apple atau ponsel Android, ia tidak akan terinfeksi.
Pusat Keamanan Alipay menyatakan bahwa sejauh ini tidak ada akun Alipay yang terpengaruh. Alipay mengatakan, untuk menanggapi risiko tersebut, sistem pengendalian risiko Alipay memiliki perlindungan yang ditargetkan sejak lama, termasuk verifikasi sekunder kode verifikasi SMS dan pengenalan wajah. Bahkan jika kata sandi bocor, keamanan akun dapat dijamin sepenuhnya.
Menurut pemantauan dan evaluasi "Tinder Threat Intelligence System", pada malam tanggal 4 Desember, virus telah menginfeksi setidaknya 100.000 komputer, tidak hanya file komputer yang terkunci, tetapi juga mencuri puluhan ribu informasi seperti kata sandi pengguna di platform Taobao dan Alipay. .
Tim Tinder secara terbalik menganalisis instruksi yang dikeluarkan oleh virus, mendekripsi dua server virus, dan menemukan sejumlah besar informasi pribadi pengguna yang dicuri oleh virus. Hanya satu server virus yang digunakan untuk menyimpan data yang disimpan lebih dari 20.000 Taobao, Alipay, dan kata sandi akun curian lainnya. Di antara mereka, Taobao, Tmall, dan Alipay memiliki data kata sandi akun terbanyak.
Statistik data informasi dari kata sandi akun yang dicuri. Gambar-gambar dalam artikel ini semuanya adalah gambar keamanan yang mudah terbakar
Menurut analisis tim 360, lebih dari 900 perangkat lunak komputer telah ditemukan terinfeksi. Dapat dipahami bahwa kebanyakan dari mereka adalah perangkat lunak abu-abu "wol".
Menurut pengujian oleh Tencent Computer Manager, jumlah pengguna yang saat ini direkrut di seluruh jaringan telah melebihi 10.000.
Saat ini, Tencent Computer Manager, 360 Security Guard, dan Tinder semuanya telah memecahkan ransomware jenis baru ini, dan pengguna dapat menggunakan perangkat lunak keamanan ini untuk mempertahankannya.
Virus pemerasan yang sangat berpengaruh mungkin disebabkan oleh generasi pasca-95-an.
Antarmuka nomor QQ penulis virus yang dicurigai
Informasi tentang pembuat virus yang dicurigai
Pada tanggal 5 Desember, The Paper mengetahui dari tim keamanan Tinder bahwa setelah analisis lebih lanjut, tim Tinder menemukan bahwa semua informasi yang relevan mengarah ke subjek-nama yang sama (Luo **), ponsel (1 ******** 45) ), QQ (1 ***** 86), nama akun Wangwang (l **** 96), email (29*****@qq.com). Pada malam tanggal 4 Desember, Tinder telah memberikan informasi pribadi di atas kepada polisi bersama dengan kata sandi Alipay yang dicuri dari pengguna korban.
360 pakar keamanan mengekstrak dan menelusuri data back-end dari beberapa mesin pengguna, dan juga melacak pembuat virus yang sama.Penulis virus menunjuk ke seorang peretas pasca-95 Aries.
Netizen berdialog dengan tersangka hacker QQ
Pada malam tanggal 4 Desember, seorang pengguna Weibo menghubungi peretas melalui QQ. Pria itu mengklaim bahwa "lebih dari 100.000 entri telah dihapus" dan "bermain di lol (Catatan editor:" Game League of Legends ")".
Tim Tencent Computer Butler percaya bahwa saat ini, meskipun jumlah tebusan spesifiknya tidak jelas, karena virus tidak memiliki kemampuan untuk menyebar sendiri, pada dasarnya virus tidak akan menyebar dalam skala besar.
Pakar keamanan Li Tiejun mengatakan kepada The Paper bahwa virus itu sendiri ditulis dengan buruk dan dapat dengan mudah didekripsi sepenuhnya. Penulis virus profesional mungkin tidak akan menerima kode QR pembayaran seluler dengan nama asli.
Jenis kode sumber langsung atau teknik penyusun kode ini harus familiar bagi praktisi industri keamanan.
Pada September 2015 lalu, terjadi insiden infeksi XCodeGhost pada aplikasi iOS yang menghebohkan dunia. Karena sejumlah besar pengembang Apple menggunakan alat pengembangan Xcode yang terinfeksi, banyak aplikasi iOS yang membawa kode berbahaya dan mencuri informasi pengguna. Ini bahkan mencakup banyak "aplikasi yang harus dimiliki" yang akan digunakan oleh hampir semua orang, tetapi mereka tidak kebal.
Pakar keamanan 360 mengatakan kepada The Paper bahwa virus ransomware pembayaran WeChat, mirip dengan insiden XCodeGhost yang terjadi di iOS Apple pada tahun 2016, menggunakan alat program pengembangan sebagai pembawa transmisi virus dan menyebar melalui jalur pengunduhan, pengembangan, dan pengunduhan. Beberapa orang di industri ini mengejek bahwa operasi ini "tidak maju".
Perangkat lunak yang terinfeksi
Perlu dicatat bahwa sebagian besar perangkat lunak komputer yang terinfeksi oleh virus ransomware WeChat Pay adalah perangkat lunak abu-abu "wool wool". Ada begitu banyak software seperti itu, Di era ketika lalu lintas adalah raja, undangan telah menjadi alat yang ampuh untuk impor lalu lintas, dan bahkan memelihara rantai industri abu-abu yang besar. Perangkat lunak undangan yang tak terhitung jumlahnya digunakan atau bahkan dikembangkan untuk mengimpor lalu lintas. Pembuat virus memanfaatkan ini untuk menyebarkan infeksi ransomware "WeChat Pay" dengan kecepatan yang eksponensial.
Lampiran: Pusat Darurat Internet Nasional mengingatkan pengguna untuk mengambil tindakan berikut pada waktunya untuk mencegah
1. Instal dan perbarui perangkat lunak anti-virus tepat waktu Saat ini, perangkat lunak anti-virus arus utama di pasaran sudah mendukung perlindungan dan deteksi ransomware.
2. Jangan membuka perangkat lunak dari sumber yang tidak dikenal dengan mudah Ransomware menyebar melalui program yang ditulis dalam bahasa yang mudah Kurangi penggunaan perangkat lunak dari sumber yang tidak dikenal untuk mencegahnya secara efektif.
3. Jika Anda telah terinfeksi ransomware, Anda dapat menggunakan alat dekripsi terkait untuk mencoba mendekripsi. Saat ini, banyak perusahaan telah mengembangkan alat dekripsi untuk ransomware, termasuk alat dekripsi khusus Tinder Bcrypt, Tencent Computer Manager "Document Guardian", 360 Security Guardian "360 Decryption Master", dan seterusnya.
4. Pengguna yang telah terinfeksi ransomware harus mengubah kata sandi platform sensitif seperti Taobao, Tmall, Alipay, dan QQ sesegera mungkin setelah menghapus virus.
5. Cadangkan file penting di komputer secara berkala pada media penyimpanan yang berbeda.
Lampiran: Alat dekripsi
https://www.huorong.cn/info/1543706624172.html (Alat dekripsi khusus untuk Tinder Bcrypt)
https://guanjia.qq.com/news/n3/2444.html (Manajer Komputer Tencent "Penjaga Dokumen")
(360 Security Guard "360 Decryption Master")
- Persediaan toilet lama harus dihilangkan Ganti dengan persediaan toilet baru yang ada Modelnya sangat populer.
- Mengenakan pakaian olahraga terlalu panas! "Rok tulle" dirilis pada bulan Maret, modis dan nyaman, mulia dan menawan
- Direkomendasikan pria yang suka minum teh: mereka yang tidak butuh uang, kenakan "set teh gaya baru" ini, dan perlakukan pelanggan dengan baik
- Segera setelah gelas kaca baru keluar, bisa tetap hangat selama 45 jam, portabel dan anti jatuh, sebungkus uang rokok
- Setelah seorang wanita berusia lebih dari 40 tahun, jangan menjadi wanita berwajah kuning. Bersiaplah untuk membeli gaun muda, menawan dan bermartabat.
- Ketika Anda mendapatkan mobil baru, Anda dapat mempersiapkan mobil dengan "perlengkapan mobil" yang praktis dan canggih ini.
- Musim semi di bulan Maret: Wanita berdandan lebih muda! Mengenakan "rok perjalanan" ini adalah wanita yang menawan dan menawan
- Yiwu "Kompor Xin Chai Huo" sedang terbakar, dan kompor tanah selamat tinggal. Bersih dan mudah digunakan.