微信勒索病毒传播速度有多快！

前两天，有一个病毒用一种混不吝的姿势冲进了所有人的视野，冲进了百度热搜榜首。它的名字叫“微信支付勒索病毒”，搞得微信慌忙出来发声明。



不能更奇葩的是，如果按照瓜友这种命名规则，这个病毒实际上应该叫：“微信支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”......听上去真是一个要上天的病毒啊，作者肯定是个“密室SM中华田园风骚铁骨我擦嘞闹不住侠”吧？

他居然是一个黏在电脑前面每天 LOL 的1996年小鲜肉......

说实话，中哥自认见多识广，看到这些剧情都慌得一批。为了搞清事实的真相，我专门去拜访了一位好盆友，他就是 360 安全卫士的安全专家王亮。

王亮和他的好朋友手纸君

这是一个《有中国特色的勒索故事》。

究竟谁感染了“微信勒索病毒”——羊毛党的起义

亮哥宅在家，通过电脑监控着世界各地的病毒动向。突然，“哔哔哔哔哔哔”后台的申诉系统弹出几十封告警。亮哥高呼一声“纳尼！！！”

亮哥一看，事有蹊跷。这几十封邮件，全都在投诉一个问题——自己电脑上的文件被莫名其妙的病毒给莫名其妙地给加密了，更雷的是，居然弹出一个微信收款码，说是只要110块，就能帮你解密文件......

看到这个效果，亮哥有点凌乱。他凌乱在两点：

那么问题来了——这不科学啊，病毒的作者究竟是聪明还是傻呢？

查了一圈，亮哥更困惑了。几乎所有人电脑里都安装了型号不一的“薅羊毛程序”和“外挂程序”，而这些薅羊毛程序明明被杀毒软件报毒了，却又被用户强制拉回了信任白名单里......



问了一圈，亮哥才明白，原来这些薅羊毛程序本来就是天天在法律的边缘疯狂试探，杀毒软件经常会把它们判断为病毒，于是羊毛党们下载了薅羊毛程序，第一件事就是顺手把它们拉进白名单里，告诉杀软：“自家兄弟，有话好说......”

 

当然，很多带病毒的薅羊毛程序并没有被用户拉进白名单，它们都顺理成章地被杀毒软件干掉了，电脑也不会被加密勒索，这些不在今天的故事里。



你知道病毒作者有多努力吗？

接下来我们来研究一下这个病毒。注意，这个病毒是个“勒索病毒”，勒索病毒是有尊严的。

这个“微信支付勒索病毒”就厉害了，作者自己写了一个几百行的代码，仿佛用尽了毕生的气力来书写一个你永世都难以解开的谜题。

哭笑不得的亮哥定睛一看，不对！

已经生无可恋的亮哥又定睛一看，还是不对......

怎么说呢，病毒代码的每一行，都能透出作者的不甘平庸，但是最终的效果只能证明，作者尽力了。

再回头看亮哥，既然知道病毒造成的一切破坏都有办法还原，基本就放心了。接下来，他准备带着兄弟们去追查一下这个病毒究竟是何方神圣。

讲真，病毒界和我们人类世界一样，也能分出三六九等。

直接说原理。把大象装冰箱分三步，这套病毒的工作原理，也分三步：

本来被用来写影评的地方，写了这么一堆乱码，程序读了它，就接受到了一个指令，去哪里下载什么东西。

豆瓣页面里的指令，指向一个 QQ空间，在这个QQ空间里，有张小女孩的图片。这不是一个普通的小女孩，你看，它的分辨率只有530*456，但是它的大小却有6.98M......

因为在这个图片背后，贴着一个“下载器”，可以访问指定的地址下载另一个程序。

把这张图片解压之后，能解出这么一堆文件。

第三步：下载勒索病毒。

你看，整个勒索流程下来。它把恶意指令藏到豆瓣，把恶意程序藏到QQ空间，自己不仅连个服务器都不用买，而且连服务器都不用偷。

听到这，中哥已经跪服了......这个病毒的作者肯定是个勤俭持家的好孩子。每勒索一票赚110块，都是净利润啊......

那就是我们刚才卖的关子，最后一个下载器从 QQ 空间拿回了两样东西，除了勒索病毒，另一个是神马呢？

 

问：它都可以用来记录什么密码呢？

答：支付宝、京东、网易163邮箱、微博、百度云盘、QQ网页版、天猫、旺旺、酷狗、迅雷。

这就是为神马到了第二天，这个病毒又被称为“支付宝病毒”的原因了......

 

这个病毒之所以被叫做“微信勒索病毒”，是因为它通过微信支付勒索钱财。

这个病毒之所以被叫做“支付宝病毒”，是因为它试图盗取用户的支付宝密码。

那么这个病毒究竟盗取了多少人的账号和密码呢？卖个关子，最后会揭晓。

病毒作者浮出水面

刚才我们说过。那个薅羊毛程序并不是把“微信勒索病毒”下载下来，而是在之前，下载了一些“下载器”，再由下载器把“勒索病毒”下载下来。

为了严谨，多说一句。分析了一下在真正病毒被下载之前的五个“下载器”，亮哥发现，这些下载器的代码风格和最后的病毒是一致的。这证明，下载器和最终病毒的作者是一个人。



1996年，还是个白羊座......听说白羊座做事冲动，星象大师诚不我欺啊。

而有一位叫做“雕哥”的热心网友，好奇加了他的QQ，他居然还没意识到发生了什么，要继续去打LOL。


至此，黑客在安全人员眼中已经遭遇了史诗级的溃败......

<p border-box="" box-sizing:="" break-word="" font-size:=""