“微信支付”勒索病毒爆发，易语言开发者成疫情源头？

【PConline资讯】12月1日，以豆瓣为C&C服务器进行攻击的UNNAMED1989勒索病毒爆发。 这种以“易语言开发环境”为媒介实现快速传播的病毒，因其直接取代了以往微信扫码兑换数字货币的支付方式，也被形象地称为“微信支付”勒索病毒。

360安全卫士官方微博于12月2日凌晨紧急发布了UNNAMED1989勒索病毒的传播情况及初步分析结论。目前，360安全卫士已能够有效阻断该勒索病毒攻击。 不过，“微信支付”勒索病毒暴露的黑客新攻击方式引起了用户的广泛关注。 对此，360对该勒索病毒的发展历程进行了进一步深入分析。

黑客成长史——从暗中尝试到公开传播

据360调研跟踪，“微信支付”勒索病毒的作者不仅精通PC端开发和移动端开发，还掌握多种编程语言。 早在2017年4月，他就开始尝试传播“正常源码+有毒模块”。

2018年4月，笔者开始尝试交付有毒工程项目。 当时还使用Github存储远程控制信息。

2018年下半年，笔者开始使用豆瓣发布控制指令。 从豆瓣日记可以看出趣链科技虚拟货币(比特币勒索病毒的来源)(2023更新中)-区...，它是9月30日开始调试的。

从10月份开始，作者开始尝试通过论坛“分享源码”的方式进行传播。

11月13日，作者开始在论坛上散布带有恶意代码的所谓“恶搞代码”。 这也是感染用户电脑的恶意代码首次被公开传播。 同日招聘易语言开发人员。

11月15日，作者在易语言开发者论坛上进一步传播该恶意代码。

11 月 15 日，第一个受感染的应用程序开始在互联网上传播。

11月19日，20多个应用程序被篡改，恶意程序开始在互联网上广泛传播。

11月底，恶意模块被举报，论坛管理员发现问题并删除了传播源。

360逆袭——从发现到快速查杀

2018年11月30日，“微信支付”勒索病毒的作者开始传播“无名勒索病毒”软件。

12月1日，360安全卫士发布安全预警，提醒用户及时查杀木马。

12月2日，360安全卫士率先发布解密工具，支持unnamed1989勒索病毒的解密。

12月3日，360安全卫士发布勒索病毒回溯分析，分析勒索病毒来源及传播方式，提醒用户注意。

12月4日，360支持查杀被病毒感染的易语言开发环境。

需要注意的是，据360分析，“微信支付”勒索病毒攻击者不仅在受害者机器上植入了勒索病毒，还植入了木马程序。 这些恶意程序会被注入到合法进程中，并具有更新功能。 获取攻击者豆瓣主页上的字符串即可获取更新地址，根据情况更改植入受害者电脑的恶意程序。

由此可见趣链科技虚拟货币(比特币勒索病毒的来源)(2023更新中)-区...，“微信支付”勒索病毒的攻击是一个连续不断跳跃的过程，再加上“供应链污染”的蔓延和微信扫码支付方式，曾一度引起民众恐慌。广大用户，也引起了用户的恐慌。 让网络安全工作者高度重视，而360对“微信支付”勒索病毒的及时高效应对​​，无疑是一场成功的抗击勒索病毒的战役，为广大开发者和用户增添了信心。