不妨先简单看一下事情的经过。12月1日,火绒安全实验室发布报告称,近期火绒团队接到用户反馈,使用“微信二维码扫描”进行勒索赎金支付的勒索病毒 Bcrypt 正在大范围传播 —— 该病毒为新型勒索病毒,入侵电脑运行后,会加密用户文件,但不收取比特币,而是要求受害者扫描弹出的微信二维码支付110元赎金,获得解密钥匙,这也是国内首次出现要求微信支付赎金的勒索病毒。
12月2日,火绒团队表示该勒索病毒已被其成功破解,并发布了解密工具。随后,360、腾讯等厂商也升级产品,并发布各自的解密工具。声称使用这些安全软件即可查杀该病毒,已经被感染用户,可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除,也可联系安全团队尝试解密。
根据火绒安全的分析和溯源,该病毒使用“供应链污染”的方式传播。这款名为 Bcrypt 的病毒首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是"薅羊毛"类灰色软件。
火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的 C&C 服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器,就存放了窃取来的淘宝、支付宝等账户密码两万余条。