手機(jī)病毒還是電腦病毒？病毒已被破解 入侵電腦后會(huì)加密用戶文件

　　近日，一款名為“UNNAMED1989”的微信掃碼支付病毒，通過(guò)偽造成私服、外掛工具在電腦端進(jìn)行。除了鎖死者文件贖金，它還會(huì)大肆偷竊支付寶等密碼。

　　據(jù)記者了解，截至12月3日，至少已有2萬(wàn)用戶感染該病毒，被感染電腦數(shù)量還在增加。

　　12月4日，騰訊安全團(tuán)隊(duì)宣布，經(jīng)過(guò)緊急處置，已第一時(shí)間對(duì)該病毒進(jìn)行破解，并連夜研發(fā)解密工具，即便用戶重裝系統(tǒng)或者其他原因丟失密鑰也能完全恢復(fù)被加密的文件。

　　支付寶安全中心也表示，早有針對(duì)性防護(hù)，已第一時(shí)間跟進(jìn)，目前沒(méi)有一例支付寶賬戶受到影響，即便密碼泄露也能最大程度地確保賬戶安全。

　　據(jù)中毒用戶反映，該病毒入侵電腦運(yùn)行后，會(huì)加密用戶文件，主要是用戶電腦中的txt、JPG、office文檔等有價(jià)值數(shù)據(jù)，加密文件中留下一個(gè)“解密工具”的圖標(biāo)，引導(dǎo)用戶支付贖金。用戶點(diǎn)擊這個(gè)圖標(biāo)后，會(huì)跳轉(zhuǎn)到一個(gè)二維碼頁(yè)面。用戶通過(guò)微信“掃一掃”功能支付110元贖金，黑客描述稱收到贖金后方可解密。

　　這也是國(guó)內(nèi)首次出現(xiàn)要求微信支付贖金的病毒。此前，國(guó)外曾多次發(fā)生類似的病毒，但均要求用比特幣一類的加密幣支付贖金，以避開(kāi)警方。

　　值得注意的是，該病毒會(huì)跳過(guò)一些指定名稱開(kāi)頭的目錄文件，比如“騰訊游戲”“英雄聯(lián)盟”等，而且不會(huì)感染使用gif、exe、tmp等擴(kuò)展名的文件。

　　此外，感染該病毒的電腦，還會(huì)記錄并傳輸用戶的鍵盤行為，獲取用戶在各類平臺(tái)輸入的密碼信息，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ號(hào)等，危害極大。

　　騰訊安全團(tuán)隊(duì)從多個(gè)用戶機(jī)器提取和后臺(tái)數(shù)據(jù)追溯看，該病毒的源是一款叫 “賬號(hào)操作 V3.1”的易語(yǔ)言軟件，可以直接登錄多個(gè)QQ賬號(hào)實(shí)現(xiàn)切換管理。

　　更為嚴(yán)重的是，病毒者還利用更新海草多開(kāi)版.exe、小印象邀請(qǐng)注冊(cè)v1.0.vmp.exe、【v軟】披薩頭條多線.vmp.exe、優(yōu)優(yōu)群優(yōu)化1.5.vmp.exe、【海草】多線.exe、更新海草_已激活.exe等黑灰產(chǎn)工具。

　　騰訊安全專家李鐵軍說(shuō)，病毒者使用的“賬號(hào)操作 V3.1”等工具本來(lái)可以直接被殺毒軟件查殺，但由于使用上述黑灰產(chǎn)專用工具的用戶，已經(jīng)習(xí)慣了完全殺毒軟件的安全。因而在這些人群中，中招率極高。

　　也就是說(shuō)，該病毒是先從網(wǎng)絡(luò)黑灰產(chǎn)從業(yè)者中開(kāi)始的，有點(diǎn)“黑吃黑”的味道，不過(guò)目前該病毒已經(jīng)開(kāi)始向普通用戶蔓延。

　　該病毒僅出現(xiàn)數(shù)小時(shí)后，騰訊電腦管家即發(fā)布破解其加密機(jī)制，為網(wǎng)友提供多個(gè)版本的解密工具。

　　據(jù)李鐵軍介紹，目前該工具配合騰訊電腦管家內(nèi)置的病毒行為攔截功能、文檔守護(hù)者功能，已形成三重安全防御體系，做到事前備份、事中攔截、事后破解，最大限度幫助已中招的網(wǎng)友查殺病毒并修復(fù)被加密的文件。

　　針對(duì)該類病毒的特點(diǎn)，李鐵軍，安裝主流殺毒軟件并保持實(shí)時(shí)運(yùn)行狀態(tài)，對(duì)于已經(jīng)中招的用戶，推薦使用騰訊電腦管家提供的無(wú)密鑰解密文檔工具，可第一時(shí)間完全解密并恢復(fù)文件。

　　沒(méi)有安裝騰訊電腦管家的用戶，也可以單獨(dú)下載解密工具，恢復(fù)被UNNAMED1989病毒加密的文檔。即使電腦已經(jīng)重裝過(guò)系統(tǒng)，一樣也可以通過(guò)該工具完成解密。

　　李鐵軍詳細(xì)介紹了防御病毒的正確操作：在事前階段，電腦管家內(nèi)置的文檔守護(hù)者功能可以備份文檔數(shù)據(jù)，一旦某些極端情況下發(fā)生意外，用戶可以使用該功能進(jìn)行文檔還原;在事中階段，電腦管家內(nèi)置病毒的行為攔截方案，在防御的情況下，即使是某些未知的病毒，仍然可能防御成功;在事后破解階段，電腦管家團(tuán)隊(duì)已破解該病毒的加密機(jī)制，已經(jīng)中招的用戶，即使重裝了系統(tǒng)或者因其他原因丟失密鑰，也可直接下載使用破解工具，完全恢復(fù)加密文檔。

　　昨日，360安全大腦也發(fā)布了解密工具，可以幫助不幸中招的電腦用戶解密被加密的文件。

　　此外，瑞星安全專家唐威告訴記者，瑞星也已成功攔截該病毒，升級(jí)到最新病毒庫(kù)的瑞星殺毒軟件個(gè)人和企業(yè)版都可以解密恢復(fù)文件。

　　唐威提醒電腦用戶，尤其是游戲玩家，不要輕信外掛或私服所聲稱的“殺毒軟件誤報(bào)論”，不要輕易把此類程序添加到信任列表中，要求退出殺毒軟件的外掛，不用;個(gè)人用戶平時(shí)應(yīng)當(dāng)養(yǎng)成及時(shí)修復(fù)漏洞的好習(xí)慣，實(shí)時(shí)正規(guī)安全軟件，可有效攔截病毒;服務(wù)器管理者還應(yīng)關(guān)注廠商安全更新，及時(shí)修復(fù)Web應(yīng)用、數(shù)據(jù)庫(kù)等各類應(yīng)用平臺(tái)的漏洞。

　　昨天上午，支付寶安全中心發(fā)布長(zhǎng)微博表示，已第一時(shí)間跟進(jìn)病毒事件，目前沒(méi)有一例支付寶賬戶受到影響。針對(duì)此類風(fēng)險(xiǎn)，支付寶風(fēng)控系統(tǒng)早有針對(duì)性防護(hù)，包括二次校驗(yàn)短信校驗(yàn)碼、人臉識(shí)別等。即便密碼泄露，也能最大程度地確保賬戶安全。

　　據(jù)介紹，在智能風(fēng)控的下，支付寶的資金損失率大約是千萬(wàn)分之五。即便出現(xiàn)小概率的賬戶被盜，支付寶也承諾會(huì)全額賠付。

　　另?yè)?jù)安全專家李鐵軍介紹，此次爆發(fā)的病毒只限于電腦端，目前尚未發(fā)現(xiàn)可以導(dǎo)致手機(jī)中毒的變種。不過(guò)他提醒用戶，技術(shù)上病毒感染手機(jī)并不存在障礙，只不過(guò)目前由于手機(jī)所需資源較多，此類成功率不高。隨著手機(jī)性能越來(lái)越強(qiáng)大，病毒反而會(huì)變得越來(lái)越簡(jiǎn)單，因此不排除未來(lái)產(chǎn)生可以遠(yuǎn)程鎖定手機(jī)文件的病毒，特別是手機(jī)用戶，不要輕易點(diǎn)擊不明鏈接，或者隨意下載未經(jīng)認(rèn)證的應(yīng)用。