白羊txt宝书
图片 :视觉中国
钛媒体注:本文 于微信 浅黑科技(qianheikeji) :史中,钛媒体获 。
你要相信,这世界上总有那么一种人,自己没想火,却一夜之间火得妈都不认识。比如参加选秀就是为了2000块钱+盒饭的杨超越。
的世界亦是如此。
前两天,有一个用一种混不吝的姿势冲进了所有人的视野,冲进了的热搜榜首。它的名字叫“微信支付勒索”。搞得微信慌忙出来发声明。
奇葩的是,就在第二天,又有一个用同样混不吝的姿势冲到了热搜榜首。它的名字叫“”。搞得又跑出来发声明。
最奇葩的是,吃瓜群众研究了一圈儿,发现“微信”和“”竟然是同一个。
连都懵逼了,发了个微博求助……
不能更奇葩的是,如果按照瓜友这种命名规则,这个实际上应该叫:“微信京东 易微博天猫旺旺酷狗迅雷”。
听上去真是一个要上天的啊,然鹅,就在大家一脸懵逼的时候,群众们已经迅雷不及掩耳盗铃地扒出了 的姓名、生日、手机号等等全部身份信息。
他居然是一个黏在电脑前面每天 LOL 的1996年小鲜肉。
为了搞清事实的真相,我专门去拜访了一位好盆友,他就是 360 安全卫士的安全专家王亮。
究竟谁感染了“微信勒索”
2022 年12月1号,这天是周六,笼罩在香醇的雾霾中。
亮哥宅在家,通过电脑着世界各地的动向。
突然,“哔哔哔哔哔哔”的申诉系统弹出几十封告警。
这个系统相当于用户的“求救信号”。一般情况下,它是很安静的,除非用户觉得有些重大被安全卫士给漏掉了,才会拼命向专家团队发射“求救信号”。
亮哥一看,事有蹊跷。这几十封邮件,全都在投诉一个问题——自己电脑上的文件被莫名其妙的给莫名其妙地给加密了,更雷的是,居然弹出一个微信收款码,说是只要110块,就能帮你解密文件。
推荐使用微信支付,讲究。
看到这个效果,亮哥有点。他在两点:
之一、用微信支付码做勒索,跟在里没啥区别。一查微信的实名认证就能破案,这属于典型的“式勒索”,说明 智商捉急……
第二、林子大了什么鸟都有。虽然用微信、作为收款途径的勒索,亮哥也不是没见过,但那些一般都得非常劣质,还没等传播呢,就被各种杀软直接秒掉。这个居然不知为何能“逃”过安全卫士的,说明 相当厉害。
那么问题来了——这啊,的 究竟是聪明还是傻呢?
按照规矩,亮哥团队会挨个 用户,询问他们究竟发生马,然后尝试远程帮助他们排查电脑的问题。
查了一圈,亮哥更困惑了。几乎所有人电脑里都安装了型号不一的“薅羊毛程序”和“程序”,而这些薅羊毛程序明明被杀软件报了,却又被用户强制拉回了信任白名单里。
比如像这样薅京东羊毛的↓↓↓
还有这样的↓↓↓
还有这样辅助拼多多发货的↓↓↓
把薅羊毛和程序拿过来一看,果然就是他们,偷偷从 上了带有勒索功能的木马,也就是那个“微信支付勒索”。
问了一圈,亮哥才明白,原来这些薅羊毛程序,本来就是天天在的边缘疯狂试探,杀软件经常会把它们判断为,于是羊毛党们了薅羊毛程序,之一件事就是顺手把它们拉进白名单里,告诉杀软:“自家兄弟,有话好说。”
这回可好,带着勒索的薅羊毛程序,也被归为自家兄弟,杀软件被用户“强制旁观”,文件都被加密了……
文件被加密了之后什么样呢?就是下面这样:
亮哥给我截了个图,展示的就是文件被加密以后,所有的 txt、docx、jpg 都打不开,打开也是乱码。
令人哭笑不得的加密秘钥
说了半天,“羊毛党的”原来是一场大型乌龙,是他们自己把放行的。但事情已经发生了,现在重要的问题在于:已经被加密的电脑,有没有办法抢救回来呢?
接下来我们来研究一下这个。注意,这个是个“勒索”,勒索是有尊严的。
一般情况下,勒索会调用 Windows 内部的加密机制,三行代码搞定,锁死你电脑上的文件,再厉害的密码专家都解不开。
这个“微信支付勒索”就厉害了, 自己写了一个几百行的代码,仿***用尽了毕生的气力来书写一个你永世都难以的谜题。
然鹅,这个加密程序却用了 自创的“民科加”,只需要用工具稍微一算就能。
哭笑不得的亮哥定睛一看,不对!
这个加密算法,运行一次是加密的效果。如果运行两次,也就是加密的基础上再加密,代码又会变成和加密之前一模一样。就像一枚硬币,翻一次看到背面,翻两次还是正面朝上……(注意,实现反转的话,程序的代码要做微调,小白勿试,后果自负。)
已经生无可恋的亮哥又定睛一看,还是不对……
加密之后的秘钥,就静悄悄地躺在硬盘上。这大概就像:你用一把锁把人家的家门给锁上,然后把钥匙放在门下的脚垫里。然后大摇大摆地说,打钱!
Key文件就存在硬盘里……
怎么说呢,代码的每一行,都能透出 的不甘平庸,但是最终的效果只能证明, 尽力了……
12月1号晚上,亮哥把分析报告传给一位同事,让他去一套“专杀工具”。工具当然不太复杂,同事熬了一下夜,第二天早晨就把专杀工具提交360安全卫士上线,这个不在话下。
再回头看亮哥,既然知道造成的一切都有办法还原,基本就放心了。接下来,他准备带着兄弟们去追查一下这个究竟是何方神。
微信、以及十大互联 公司躺枪
讲真,界和我们人类世界一样,也能分出三六九等。
如果 买很多,然后把放在里面,诱骗其他电脑来访问,那么这就属于界的王思聪。
如果 只是黑了人家的,然后偷偷地“借用”人家的来传播,那这就是界的丝。
今天这位“微信勒索”属于哪种呢?它称得上是丝中的战斗丝。
直接说原理。把大象装冰箱分三步,这套的工作原理,也分三步:
之一步:用户了薅羊毛程序之后,这个程序会偷偷“逛豆瓣”。
是的,你没看错,这个薅羊毛程序就是会访问豆瓣。当然,它并不是文艺小清新,而是从豆瓣的一个 页里,读取攻击指令。
就是这个 页了,原贴已被删,感谢快照。
本来被用来写影评的地方,写了这么一堆乱码,程序读了它,就接受到了一个指令,去哪里什么东西。
第二步:“逛豆瓣”之后,它会去“逛空间”
豆瓣页面里的指令,指向一个空间,在这个空间里,有张小女孩的图片。这不是一个普通的小女孩,你看,它的分辨率只有530*456,但是它的大小却有6.98M。。。
因为在这个图片背后,贴着一个“器”,可以访问指定的地址另一个程序。
(把这张图片解压之后,能解出这么一堆文件。)
这个指定的地址是哪里呢?还是豆瓣。去豆瓣干什么呢?还是跳到空间找另一个“器”。就这么循环了三次,了一堆形态各异的器。终于,最后一个器把剧情推进到了第三步。
第三步:勒索。
最后一个器,终于从空间里拿回了两样东西:这之一样我们等下再说,这第二样就是勒索本尊。后面的故事就是把用户电脑上的文件加密,然后弹出微信支付,大家都知道了。
简单来说就是薅羊毛程序了一串器,最后一个器了勒索。
整个勒索流程下来。它把恶意指令***到豆瓣,把恶意程序***到空间,自己不仅连个都不用买,而且连都不用偷。
直接利用豆瓣和的免费服务,攻击的成本是:零。
听到这,中哥已经跪服了。这个的 肯定是个勤俭持家的好孩子。每勒索一票赚110块,都是净利润啊。
主线剧情进行到这,却又出现了一个支线剧情。
那就是我们刚才卖的关子,最后一个器从空间拿回了两样东西,除了勒索,另一个是神马呢?
没错,就是用来记录用户密码的程序。
问:它都可以用来记录什么密码呢?
、京东、 易163邮箱、微博、云盘、页版、天猫、旺旺、酷狗、迅雷。
其中,的安全做得更好。一般情况下,用户在页面输入密码的时候,会探测有没有记录程序在偷偷记录密码。所以,为了绕过的检查,在的 页之上生成了一个一模一样的窗口,盖住原本的密码框,骗用户输入密码。
这就是马到了第二天,这个又被称为“”的原因了。
至此,微信和躺枪的过程完毕。
这个之所以被叫做“微信勒索”,是因为它通过微信支付勒索钱财。
这个之所以被叫做“”,是因为它试图用户的密码。
然鹅,平胸而论,这个并没有只的密码啊。如果它谁的密码就用谁命名的话,这个应该叫做:
“京东 易微博天猫旺旺酷狗迅雷”
那么这个究竟了多少人的和密码呢?卖个关子,最后会揭晓。
我们继续顺着追查。既然已经得知这么多信息,接下来就可以试着寻找 究竟是谁了。
浮面
事到如今,你已经能体会这位 童鞋的风格了:虽然他破绽百出,但只要你留心,总能找到更奇葩的破绽。
刚才我们说过。那个薅羊毛程序并不是把“微信勒索”下来,而是在之前,了一些“器”,再由器把“勒索”下来。
好的,奇葩的破绽就出在这些“器”上。
为了严谨,多说一句。分析了一下在真正被之前的五个“器”发现,这些器的代码风格和最后的是一致的。这证明,器和最终的 是一个人。
在其中一个器里, 竟然留下了自己的 GitHub 地址,而这个地址可就厉害了,用户名直接是:“qq179074XXXX”。我读书少,但怎么看这都是一个号吧……而在页面里他还留下了一串字:LSY1996XXXX。我读书少,但这这分明就是一个名字的缩写和生日好不好。。。
不用你们动手,
中哥替你们搜了一下这个号。
1996年,还是个白羊座……听说白羊座做事冲动,星象诚不我欺啊。
亮哥说,他刚开始搜到这个号的时候,对方的签名还写着:“收徒,老湿傅带你写。2300包教包会!”(当然现在已经改了)
而有一位叫做“雕哥”的热心 友,好奇加了他的,他居然还没意识到发生了什么,要继续去打LOL。
当然,即使是一个 ,中哥也并不提倡他。不过实际上,这些信息被公开之后,广大 友已经把这位小哥的具体姓名到……具体 这里就不写了,我们暂且把他称为 LSY 吧。
至此,在安全人员眼中已经遭遇了史诗级的溃败……
说到这,你一定想知道,这位老湿傅究竟赚了多少钱。
当然,这个具体的收款详情,只有微信支付才掌握,他们并不会公布。但亮哥回忆了一个有趣的细节。
最开始,亮哥接到“”之后,确实有一个受害者说,他已经扫码支付了110块,然后,就没有然后了。
经过逆向这个程序之后,亮哥发现,程序根本就没那么智能,这边付过去110块,那边的 LSY 老湿根本不知道是谁付的钱,又怎么能帮你解锁呢……
而在亮哥尝试扫那个微信支付码的时候,这个码已经失效,因为被了……
怎么说呢,很可能那个的受害者,是之一个交赎金的,也是最后一个能交进去赎金的……
故事讲到这里,还有一个更大的疑团没有,那就是:LSY 老湿傅,究竟是如何把那一整套“的指令”几十款薅羊毛程序里的呢?
你可能猜不到,这个谜团的同时,我们顺便又打开了一个新世界的大门。
神秘的:易语言
一个神奇的事实浮面:
所有传播这个勒索的薅羊毛、程序,都有一个惊人的特点,那就是——他们都是用“易语言”编写的。
你可能会好奇,纳尼?我听说过 C语言,PHP,Java,啥叫易语言?
实话实说,中哥在一天以前,也不知道神马是易语言。
给你两张易语言编程界面你体会一下。
你应该有感觉了。易语言是一个纯中文的编程界面,对于广大没有计算机背景,但是却热爱编程的人士“相当友好”。
如果说 C 语言是任的红白机的话,那么易语言就是——小学习机。
可能你猜不到,易语言在中国有着巨大的使用群体。
而在易语言的粉丝中,有一个颇为有名的——精易。
我为什么要花这么多时间来说易语言呢?因为,整场“微信勒索”,其实都只发生在易语言的世界里。事情是这样的:
1、LSY 老湿傅,是一个的易语言爱好者,曾经用易语言做了一些有用的小工具,发在了精易上。
2、2022 年早些时候,LSY 老湿傅动了歪心,他发布了一个带有的小工具,但是很快被细心的 友发现了,回帖说你这个里面有啊。老湿傅羞赧无比,决定回去再苦练几个月。
3、在2022 年11月15号,老湿傅重出,在精易发表了一个新的小工具“小型软件在线更新”。这是一个易语言编程的插件。而这个插件里面,就被 LSY 老湿傅植入了“器”的恶意代码。
这个恶意代码可就厉害了——它感染的是易语言的编程程序。
也就是说,一旦过这个插件,用它编出来的程序,都是偷偷带有器功能的,软件 并不知情。而这个器能用来什么,就是 LSY 老湿傅说了算了。
于是,LSY 通过感染“编程语言母体”的方式,让母体编写出来的一切程序都天然带有。就像那些可怕的基因疾病一样,如果母亲具有患病基因,那么孩子也会天然带有这种疾病。
于是,一场可怕的扩散就此开始。
一场意料之外的可怕扩散
讲真,这种攻击母体的,在界已经非常出名。甚至它还有一个名字,叫做“软件供应链攻击”。
这种攻击非常有效,扩散起来非常迅速。但是,真正的成熟,一般不会选用这种攻击方式,原因是神马呢?
没错,就是控制不住事态。。。
干的这些事,信息、勒索,本来应该是低调进行的。这就像团伙,本来应该夜黑风高之时在僻静的小胡同里,堵住一个弱小的姑娘要钱。没听说过哪个团伙 在保安旁边挨个要钱的。
但是,感染母体软件之后, 是没办法控制其他人用这些母体编写多少新程序出来的, 也没办法控制这些新编出来的带软件究竟会有多火,会有多少人使用。
这就像你打台球的时候,把白球直接打进洞很容易,但是用白球撞彩球进洞就更难控制准。
如果你能让五颗球连续撞击最后进洞,那你就是选手了。
换句话说,就像一个小孩子扛起了火箭炮,他对接下来发生的事情根本无法控制。
这样一看,一切就都明白了:
“微信勒索”,本来就是 LSY 老湿想要小范围传播的勒索软件,于是根本都没做什么伪装,还用了微信支付码,估计在他心里,预计这个会感染几十人,然后其中十个人付赎金,赚个一千多块钱完事。
没想到,中国对于薅羊毛这件事情过于热衷,导致几万人使用了带的薅羊毛程序,超出了他的预料,直接惊动了中国几大杀软件。
事实也证明,从开始传播到各大安全厂商剿灭,总共用了半天时间。
就这样,他从一个默默收徒的小,摇身一变成了两天之内用两种姿势连续攻占搜索的男人。
事情曝光之后,LSY 的豆瓣页面上的最后一条攻击代码也被他换掉了,只有一行字:
sorry!—太年轻了!
看到这里,一种复杂的心情涌上我心头。年轻总会犯错误,但有时我们为年轻付出的代价,也许过于沉重。
以上一切信息,亮哥都在之一时间同步给了警方。从息看,各大安全厂商也都把自己掌握 交给了警方。
就在2022 年12月6日晚上,微博“平安东莞”发布了一条消息。没错,LSY 老湿落 了。
根据警方 ,罗某某涉嫌利用木马入侵用户计算机,获取、、 盘、邮箱等各类用户、密码数据约5万余条,全 已有超过10万台计算机被感染。
更多精彩内容, 钛媒体微信号(ID:taimeiti),或者钛媒体App
以上就是与白羊txt宝书 相关内容,是关于勒索的分享。看完白羊 盘后,希望这对大家有所帮助!