新型勒索病毒案


在6年前的今天,2018年12月5日(农历2018年10月28日),新型勒索病毒案。

2018年12月10日,被宣传得沸沸扬扬的新型勒索病毒威胁警报终于告一段落。在腾讯公司安全团队等协助下,东莞网警在省公安厅网警总队的统筹指挥下,24小时内火速侦破“12.05”新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者1名,缴获木马程序和作案工具一批。该案的成功侦破及时阻断了该病毒对全网计算机系统入侵的进一步扩大,有效遏制了病毒进一步传播。

在该病毒仅出现数小时后,腾讯电脑管家接到用户的举报,并对其进行了严密追踪和分析,随即完美限免其加密机制,第一时间为网友提供多个版本的解密工具。与此同时,微信安全团队已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信支付用户财产和账户安全不受任何威胁。

在快速锁定犯罪嫌疑人相关线索后,腾讯安全团队第一时间将案情举报给警方。东莞网警支队获悉省公安厅网警总队下发线索后快速反应,于12月4日22时准确摸排出嫌疑人真实身份为罗某某(男,22岁,广东茂名人),并于2018年12月5日15时将嫌疑人罗某某抓获,24小时内火速侦破了“12.05”新型勒索病毒破坏计算机信息系统案。

经审讯,嫌疑人罗某某对其制作新型勒索病毒破坏计算机信息系统的事实供认不讳。据其供述,2018年6月,罗某某自主研发出病毒“cheat”(后传播扩散的版本加入加密勒索功能,被安全厂商命名为“Unname1989”勒索病毒),用于盗取他人支付宝的账号密码,进而以转账方式盗取资金。同时制作内含“cheat”木马病毒代码的某开发软件模块,在互联网上发布,任何通过该开发软件编写的应用软件均包含木马病毒代码,代码在后台自动运行,记录用户淘宝、支付宝等账号密码,以及键盘操作,上传至服务器。

犯罪嫌疑人罗某某(图片来源:平安东莞)

不同于其他勒索病毒,此次“Unname1989”勒索病毒并没有直接修改文件后缀名。一经感染,该勒索病毒会加密用户电脑中的txt、office文档等有价值数据,并在桌面释放一个“你的电脑文件已被加密,点此解密”的快捷方式后,弹出解密教程和收款二维码,最后强迫受害用户通过手机转帐缴付解密酬金。

正因为犯罪嫌疑人此次实施勒索采用了“二维码收款”的方式,所以此次勒索病毒事件一度被误读为“支付病毒”。而实际上,此勒索病毒是一种新型电脑病毒,主要以邮件、程序木马、网页挂马等形式感染Windows系统。不管是苹果手机还是安卓手机,都不会被感染。普通用户不必过于担心,电脑上的杀毒软件升级后就可将病毒拦截。

一直以来,腾讯安全尤其是微信对任何形式的网络黑产犯罪都是“零容忍”,一直在持续打击网络黑产,实现了全链条精确打击。微信目前具有业界最安全的帐号保护体系,会通过后台风控策略对高风险交易场景进行提醒和确认,以保护好用户支付和财产安全,而腾讯电脑管家、腾讯手机管家也为用户电脑及手机上网提供了最坚固的安全防护。

目前,嫌疑人罗某某已被警方依法刑事拘留,案件正在进一步审理中。腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,应定期对重要数据进行备份,电脑管家内置的文档守护者功能利用磁盘冗余空间备份文档数据,一旦某些极端情况下发生意外,用户可以使用文档守护者进行文档还原。同时,用户应谨慎下载不明来源的软件,保持电脑管家等安全软件开启状态,对勒索病毒行为进行实时拦截查杀。另外,受感染的非管家用户可通过电脑管家官网下载无密钥解密工具完美恢复加密文档,并尽快修改网络平台的密码,防止进一步损失。