你要相信，這世界上總有那么一種人，自己沒想火，卻一夜之間火得媽都不認(rèn)識。比如參加選秀就是為了2000塊錢+盒飯的楊超越。

病毒的世界亦是如此。

前兩天，有一個(gè)病毒用一種混不吝的姿勢沖進(jìn)了所有人的視野，沖進(jìn)了百度的熱搜榜首。它的名字叫“ 微信 支付勒索病毒”。搞得微信慌忙出來發(fā)聲明。。。

奇葩的是，就在第二天，又有一個(gè)病毒用同樣混不吝的姿勢沖到了百度熱搜榜首。它的名字叫“支付寶病毒”。搞得支付寶又跑出來發(fā)聲明。。。

最奇葩的是，吃瓜群眾研究了一圈兒，發(fā)現(xiàn)“微信病毒”和“支付寶病毒”竟然TMD是同一個(gè)病毒。。。

連支付寶都懵逼了，發(fā)了個(gè)微博求助。。。

不能更奇葩的是，如果按照瓜友這種命名規(guī)則，這個(gè)病毒實(shí)際上應(yīng)該叫：“微信支付寶京東網(wǎng)易微博百度QQ天貓旺旺酷狗迅雷病毒”。。。

聽上去真是一個(gè)要上天的病毒啊，作者肯定是個(gè)“密室SM中華田園風(fēng)騷鐵骨我擦嘞鬧不住俠”吧？

然鵝，就在大家一臉懵逼的時(shí)候，群眾們已經(jīng)迅雷不及掩耳盜鈴地扒出了病毒作者的姓名、生日、 手機(jī) 號等等全部身份信息。

他居然是一個(gè)黏在電腦前面每天 LOL 的1996年小鮮肉。。。

說實(shí)話，中哥自認(rèn)見多識廣，看到這些劇情都慌得一批。

為了搞清事實(shí)的真相，我專門去拜訪了一位好盆友，他就是 360 安全衛(wèi)士的安全專家王亮。

聽亮哥講完故事的來龍去脈，整個(gè)過程我眼睛都沒眨。。。這時(shí)我才確認(rèn)，這個(gè)瓜比想象中狗血一百倍。

這是一個(gè)《有中國特色的勒索故事》……

究竟誰感染了“微信勒索病毒”——羊毛黨的起義

2018年12月1號，這天是周六，北京籠罩在香醇的霧霾中。

亮哥宅在家，通過電腦監(jiān)控著世界各地的病毒動向。

突然，“嗶嗶嗶嗶嗶嗶”后臺的申訴系統(tǒng)彈出幾十封告警。亮哥高呼一聲“納尼！！！”

這個(gè)系統(tǒng)相當(dāng)于用戶的“求救信號”。一般情況下，它是很安靜的，除非用戶覺得有些重大病毒被安全衛(wèi)士給漏掉了，才會拼命向?qū)＜覉F(tuán)隊(duì)發(fā)射“求救信號”。

亮哥一看，事有蹊蹺。這幾十封郵件，全都在投訴一個(gè)問題——自己電腦上的文件被莫名其妙的病毒給莫名其妙地給加密了，更雷的是，居然彈出一個(gè)微信收款碼，說是只要110塊，就能幫你解密文件。。。

推薦使用微信支付，講究。

看到這個(gè)效果，亮哥有點(diǎn)凌亂。他凌亂在兩點(diǎn)：

第一、用微信支付碼做勒索，跟在派出所里搶劫沒啥區(qū)別。警察一查微信的實(shí)名認(rèn)證就能破案，這屬于典型的“自殺式勒索”，說明作者智商捉急……

第二、林子大了什么鳥都有。雖然用微信、支付寶作為收款途徑的勒索病毒，亮哥也不是沒見過，但那些病毒一般都制作得非常劣質(zhì)，還沒等傳播呢，就被各種殺軟直接秒掉。這個(gè)病毒居然不知為何能“逃”過安全衛(wèi)士的監(jiān)控，說明作者相當(dāng)厲害。。。

那么問題來了——這不科學(xué)啊，病毒的作者究竟是聰明還是傻呢？

按照規(guī)矩，亮哥團(tuán)隊(duì)會挨個(gè)聯(lián)系用戶，詢問他們究竟發(fā)生了神馬，然后嘗試遠(yuǎn)程幫助他們排查電腦的問題。

查了一圈，亮哥更困惑了。幾乎所有人電腦里都安裝了型號不一的“薅羊毛程序”和“外掛程序”，而這些薅羊毛程序明明被殺毒軟件報(bào)毒了，卻又被用戶強(qiáng)制拉回了信任白名單里。。。

比如像這樣薅京東羊毛的↓↓↓

還有這樣的↓↓↓

還有這樣輔助拼多多發(fā)貨的↓↓↓

把薅羊毛和外掛程序拿過來一看，果然就是他們，偷偷從網(wǎng)上下載了帶有勒索功能的病毒木馬，也就是那個(gè)“微信支付勒索病毒”。。。

問了一圈，亮哥才明白，原來這些薅羊毛程序，本來就是天天在法律的邊緣瘋狂試探，殺毒軟件經(jīng)常會把它們判斷為病毒，于是羊毛黨們下載了薅羊毛程序，第一件事就是順手把它們拉進(jìn)白名單里，告訴殺軟：“自家兄弟，有話好說。。。”

這回可好，帶著勒索病毒的薅羊毛程序，也被歸為自家兄弟，殺毒軟件被用戶“強(qiáng)制旁觀”，文件都被加密了。。。

（當(dāng)然，很多帶病毒的薅羊毛程序并沒有被用戶拉進(jìn)白名單，它們都順理成章地被殺毒軟件干掉了，電腦也不會被加密勒索，這些不在今天的故事里。）

文件被加密了之后什么樣呢？就是下面這樣：

亮哥給我截了個(gè)圖，展示的就是文件被加密以后，所有的 txt、docx、jpg 都打不開，打開也是亂碼。

你知道病毒作者有多努力嗎？

說了半天，“羊毛黨的起義”原來是一場大型烏龍，是他們自己把病毒放行的。但事情已經(jīng)發(fā)生了，現(xiàn)在重要的問題在于：已經(jīng)被病毒加密的電腦，有沒有辦法搶救回來呢？？？

接下來我們來研究一下這個(gè)病毒。注意，這個(gè)病毒是個(gè)“勒索病毒”，勒索病毒是有尊嚴(yán)的。

一般情況下，勒索病毒會調(diào)用 Windows 內(nèi)部的加密機(jī)制，三行代碼搞定，鎖死你電腦上的文件，再厲害的密碼專家都解不開。

這個(gè)“微信支付勒索病毒”就厲害了，作者自己寫了一個(gè)幾百行的代碼，仿佛用盡了畢生的氣力來書寫一個(gè)你永世都難以解開的謎題。

然鵝，這個(gè)加密程序卻用了作者自創(chuàng)的“民科加密法”，只需要用工具稍微一算就能解開。。。

哭笑不得的亮哥定睛一看，不對！

這個(gè)加密算法，運(yùn)行一次是加密的效果。如果運(yùn)行兩次，也就是加密的基礎(chǔ)上再加密，代碼又會變成和加密之前一模一樣。。。就像一枚硬幣，翻一次看到背面，翻兩次還是正面朝上。。。。（注意，實(shí)現(xiàn)反轉(zhuǎn)的話，病毒程序的代碼要做微調(diào)，小白勿試，后果自負(fù)。）

已經(jīng)生無可戀的亮哥又定睛一看，還是不對。。。

加密之后的秘鑰，就靜悄悄地躺在硬盤上。這大概就像：你用一把鎖把人家的家門給鎖上，然后把鑰匙放在門下的腳墊里。。。然后大搖大擺地說，打錢！

Key文件就存在硬盤里。。。

怎么說呢，病毒代碼的每一行，都能透出作者的不甘平庸，但是最終的效果只能證明，作者盡力了。。。

12月1號晚上，亮哥把病毒分析報(bào)告?zhèn)鹘o一位同事，讓他去開發(fā)一套“專殺工具”。工具當(dāng)然不太復(fù)雜，同事熬了一下夜，第二天早晨就把專殺工具提交360安全衛(wèi)士上線，這個(gè)不在話下。

再回頭看亮哥，既然知道病毒造成的一切破壞都有辦法還原，基本就放心了。接下來，他準(zhǔn)備帶著兄弟們?nèi)プ凡橐幌逻@個(gè)病毒究竟是何方神圣。

微信、支付寶以及十大 互聯(lián)網(wǎng) 公司躺槍

講真，病毒界和我們?nèi)祟愂澜缫粯樱材芊殖鋈诺取?/p>

如果病毒作者買很多服務(wù)器，然后把病毒放在里面，誘騙其他電腦來訪問，那么這就屬于病毒界的王思聰。。。

如果病毒作者只是黑了人家的服務(wù)器，然后偷偷地“借用”人家的服務(wù)器來傳播病毒，那這就是病毒界的屌絲。。。

今天這位“微信勒索病毒”屬于哪種呢？它稱得上是屌絲中的戰(zhàn)斗絲。。。

直接說原理。把大象裝冰箱分三步，這套病毒的工作原理，也分三步：

第一步：用戶下載了薅羊毛程序之后，這個(gè)程序會偷偷“逛豆瓣”。。。

是的，你沒看錯，這個(gè)薅羊毛程序就是會訪問豆瓣。當(dāng)然，它并不是文藝小清新，而是從豆瓣的一個(gè)網(wǎng)頁里，讀取攻擊指令。

就是這個(gè)網(wǎng)頁了，原貼已被刪，感謝百度快照。。。

本來被用來寫影評的地方，寫了這么一堆亂碼，程序讀了它，就接受到了一個(gè)指令，去哪里下載什么東西。

第二步：“逛豆瓣”之后，它會去“逛QQ空間”

豆瓣頁面里的指令，指向一個(gè) QQ空間，在這個(gè)QQ空間里，有張小女孩的圖片。這不是一個(gè)普通的小女孩，你看，它的分辨率只有530*456，但是它的大小卻有6.98M。。。

因?yàn)樵谶@個(gè)圖片背后，貼著一個(gè)“下載器”，可以訪問指定的地址下載另一個(gè)程序。

（把這張圖片解壓之后，能解出這么一堆文件。。。）

這個(gè)指定的地址是哪里呢？還是豆瓣。。。。去豆瓣干什么呢？還是跳到QQ空間找另一個(gè)“下載器”。就這么循環(huán)了三次，下載了一堆形態(tài)各異的下載器。終于，最后一個(gè)下載器把劇情推進(jìn)到了第三步。

第三步：下載勒索病毒。

最后一個(gè)下載器，終于從QQ空間里拿回了兩樣?xùn)|西：這第一樣我們等下再說，這第二樣就是勒索病毒本尊。后面的故事就是把用戶電腦上的文件加密，然后彈出微信支付二維碼，大家都知道了。

以防你沒明白，中哥畫張圖。簡單來說就是薅羊毛程序下載了一串下載器，最后一個(gè)下載器下載了勒索病毒。

你看，整個(gè)勒索流程下來。它把惡意指令藏到豆瓣，把惡意程序藏到 QQ 空間，自己不僅連個(gè)服務(wù)器都不用買，而且連服務(wù)器都不用偷。

直接利用豆瓣和QQ的免費(fèi)服務(wù)，黑客攻擊的成本是：零。。。

聽到這，中哥已經(jīng)跪服了。。。這個(gè)病毒的作者肯定是個(gè)勤儉持家的好孩子。每勒索一票賺110塊，都是凈利潤啊。。。

主線劇情進(jìn)行到這，卻又出現(xiàn)了一個(gè)支線劇情。

那就是我們剛才賣的關(guān)子，最后一個(gè)下載器從 QQ 空間拿回了兩樣?xùn)|西，除了勒索病毒，另一個(gè)是神馬呢？

沒錯，就是用來記錄用戶密碼的程序。

問：它都可以用來記錄什么密碼呢？

答：支付寶、京東、網(wǎng)易163郵箱、微博、百度云盤、QQ網(wǎng)頁版、天貓、旺旺、酷狗、迅雷。

其中，支付寶的安全做得最好。一般情況下，用戶在支付寶頁面輸入密碼的時(shí)候，支付寶會探測有沒有記錄程序在偷偷記錄密碼。所以，為了繞過支付寶的檢查，黑客在支付寶的網(wǎng)頁之上生成了一個(gè)一模一樣的窗口，蓋住原本的密碼框，騙用戶輸入密碼。。。

這就是為神馬到了第二天，這個(gè)病毒又被稱為“支付寶病毒”的原因了。。。。

至此，微信和支付寶躺槍的過程完畢。

這個(gè)病毒之所以被叫做“微信勒索病毒”，是因?yàn)樗ㄟ^微信支付勒索錢財(cái)。

這個(gè)病毒之所以被叫做“支付寶病毒”，是因?yàn)樗噲D盜取用戶的支付寶密碼。

然鵝，平胸而論，這個(gè)病毒并沒有只盜取支付寶的密碼啊。。。如果它盜取誰的密碼就用誰命名的話，這個(gè)病毒應(yīng)該叫做：

“支付寶京東網(wǎng)易微博百度QQ天貓旺旺酷狗迅雷病毒”

那么這個(gè)病毒究竟盜取了多少人的賬號和密碼呢？賣個(gè)關(guān)子，最后會揭曉。

我們繼續(xù)順著病毒追查。既然已經(jīng)得知這么多信息，接下來就可以試著尋找病毒作者究竟是誰了。

病毒作者浮出水面

事到如今，你已經(jīng)能體會這位病毒作者童鞋的風(fēng)格了：雖然他破“腚”百出，但只要你留心，總能找到更奇葩的破腚。。。

剛才我們說過。那個(gè)薅羊毛程序并不是把“微信勒索病毒”下載下來，而是在之前，下載了一些“下載器”，再由下載器把“勒索病毒”下載下來。

好的，奇葩的破綻就出在這些“下載器”上。

為了嚴(yán)謹(jǐn)，多說一句。分析了一下在真正病毒被下載之前的五個(gè)“下載器”，亮哥發(fā)現(xiàn)，這些下載器的代碼風(fēng)格和最后的病毒是一致的。這證明，下載器和最終病毒的作者是一個(gè)人。

在其中一個(gè)下載器里，作者竟然留下了自己的 GitHub 地址，而這個(gè)地址可就厲害了，用戶名直接是：“qq179074XXXX”。我讀書少，但怎么看這都是一個(gè)QQ號吧。。。而在頁面里他還留下了一串字符：LSY1996XXXX。我讀書少，但這這分明就是一個(gè)名字的縮寫和生日好不好。。。

不用你們動手，

中哥替你們搜了一下這個(gè)QQ號。

1996年，還是個(gè)白羊座。。。聽說白羊座做事沖動，星象大師誠不我欺啊。

亮哥說，他剛開始搜到這個(gè)QQ號的時(shí)候，對方的簽名還寫著：“收徒，老濕傅帶你寫外掛。2300包教包會！”（當(dāng)然現(xiàn)在已經(jīng)改了）

而有一位叫做“雕哥”的熱心網(wǎng)友，好奇加了他的QQ，他居然還沒意識到發(fā)生了什么，要繼續(xù)去打LOL。

當(dāng)然，即使是一個(gè)病毒作者，中哥也并不提倡人肉他。不過實(shí)際上，這些信息被公開之后，廣大網(wǎng)友已經(jīng)把這位小哥的具體姓名人肉到了。。。具體的信息這里就不寫了，我們暫且把他稱為 LSY 吧。

至此，黑客在安全人員眼中已經(jīng)遭遇了史詩級的潰敗。。。

說到這，你一定想知道，這位黑客老濕傅究竟賺了多少錢。

當(dāng)然，這個(gè)賬號具體的收款詳情，只有微信支付才掌握，他們并不會公布。但亮哥回憶了一個(gè)有趣的細(xì)節(jié)。

最開始，亮哥接到“報(bào)警”之后，確實(shí)有一個(gè)受害者說，他已經(jīng)掃碼支付了110塊，然后，就沒有然后了。

經(jīng)過逆向這個(gè)病毒程序之后，亮哥發(fā)現(xiàn)，程序根本就沒那么智能，這邊付過去110塊，那邊的 LSY 老濕根本不知道是誰付的錢，又怎么能幫你解鎖呢。。。。

而在亮哥嘗試掃那個(gè)微信支付碼的時(shí)候，這個(gè)碼已經(jīng)失效，因?yàn)楸慌e報(bào)了。。。舉報(bào)了。。。

怎么說呢，很可能那個(gè)付款的受害者，是第一個(gè)交贖金的，也是最后一個(gè)能交進(jìn)去贖金的。。。這個(gè)故事告訴我們：下次遇到微信支付勒索，交智商稅要趁早。磨蹭半個(gè)小時(shí)，想送錢都送不進(jìn)去了。

故事講到這里，還有一個(gè)最大的疑團(tuán)沒有解開，那就是：LSY 老濕傅，究竟是如何把那一整套“下載病毒的指令”塞進(jìn)幾十款薅羊毛程序里的呢？

你可能猜不到，解開這個(gè)謎團(tuán)的同時(shí)，我們順便又打開了一個(gè)新世界的大門。。。

神秘的組織：易語言

一個(gè)神奇的事實(shí)浮出水面：

所有傳播這個(gè)勒索病毒的薅羊毛、外掛程序，都有一個(gè)驚人的特點(diǎn)，那就是——他們都是用“易語言”編寫的。

你可能會好奇，納尼？我聽說過 C語言，PHP，Java，啥叫易語言？

實(shí)話實(shí)說，中哥在一天以前，也不知道神馬是易語言。

給你兩張易語言編程界面你體會一下。

你應(yīng)該有感覺了。易語言是一個(gè)純中文的編程界面，對于廣大沒有計(jì)算機(jī)背景，但是卻熱愛編程的人士“相當(dāng)友好”。

如果說 C 語言是任天堂的紅白機(jī)的話，那么易語言就是——小霸王學(xué)習(xí)機(jī)。

可能你猜不到，易語言在中國有著巨大的使用群體。

而在易語言的粉絲中，有一個(gè)頗為有名的論壇——精易論壇。

給你看下，精易論壇的感覺。。。

我為什么要花這么多時(shí)間來說易語言呢？因?yàn)椋麍觥拔⑿爬账鞑《尽笔录鋵?shí)都只發(fā)生在易語言的世界里。事情是這樣的：

1、LSY 老濕傅，是一個(gè)狂熱的易語言愛好者，曾經(jīng)用易語言做了一些有用的小工具，發(fā)在了精易論壇上。

2、2018年早些時(shí)候，LSY 老濕傅動了歪心，他發(fā)布了一個(gè)帶有病毒的小工具，但是很快被細(xì)心的網(wǎng)友發(fā)現(xiàn)了，回帖說你這個(gè)里面有病毒啊。。。老濕傅羞赧無比，決定回去再苦練幾個(gè)月。。。

3、在2018年11月15號，老濕傅重出江湖，在精易論壇發(fā)表了一個(gè)新的小工具“小型軟件在線更新方法”。這是一個(gè)易語言編程的插件。而這個(gè)插件里面，就被 LSY 老濕傅植入了“下載器”的惡意代碼。

這個(gè)惡意代碼可就厲害了——它感染的是易語言的編程程序。

也就是說，一旦下載過這個(gè)插件，用它編出來的程序，都是偷偷帶有下載器功能的，軟件作者并不知情。而這個(gè)下載器能用來下載什么，就是 LSY 老濕傅說了算了。

于是，LSY 通過感染“編程語言母體”的方式，讓母體編寫出來的一切程序都天然帶有病毒。就像那些可怕的基因疾病一樣，如果母親具有患病基因，那么孩子也會天然帶有這種疾病。

于是，一場可怕的擴(kuò)散就此開始。

一場華麗的當(dāng)眾裸奔

講真，這種攻擊母體的方法，在黑客界已經(jīng)非常出名。甚至它還有一個(gè)名字，叫做“軟件供應(yīng)鏈攻擊”。

這種攻擊非常有效，擴(kuò)散起來非常迅速。但是，真正的成熟黑客，一般不會選用這種攻擊方式，原因是神馬呢？

沒錯，就是控制不住事態(tài)。。。

病毒干的這些事，盜取信息、勒索，本來應(yīng)該是低調(diào)進(jìn)行的。這就像搶劫團(tuán)伙，本來應(yīng)該夜黑風(fēng)高之時(shí)在僻靜的小胡同里，堵住一個(gè)弱小的姑娘要錢。沒聽說過哪個(gè)搶劫團(tuán)伙到王府井地鐵站，每人把守一個(gè)出口，站在安檢旁邊挨個(gè)要錢的。。。

但是，感染母體軟件之后，病毒作者是沒辦法控制其他人用這些母體編寫多少新程序出來的，病毒作者也沒辦法控制這些新編出來的帶毒軟件究竟會有多火，會有多少人使用。

這就像你打臺球的時(shí)候，

把白球直接打進(jìn)洞很容易，

但是用白球撞彩球進(jìn)洞就更難控制準(zhǔn)星，

如果你能讓五顆球連續(xù)撞擊最后進(jìn)洞，那你就是世界級選手了。

換句話說，就像一個(gè)小孩子扛起了火箭炮，他對接下來發(fā)生的事情根本無法控制。。。。

這樣一看，一切就都明白了：

“微信勒索病毒”，本來就是 LSY 老濕想要小范圍傳播的勒索軟件，于是根本都沒做什么偽裝，還用了微信支付碼，估計(jì)在他心里，預(yù)計(jì)這個(gè)病毒會感染幾十人，然后其中十個(gè)人付贖金，賺個(gè)一千多塊錢完事。

沒想到，中國人民對于薅羊毛這件事情過于熱衷，導(dǎo)致幾萬人使用了帶毒的薅羊毛程序，超出了他的預(yù)料，直接驚動了中國幾大殺毒軟件。。。

事實(shí)也證明，病毒從開始傳播到各大安全廠商剿滅，總共用了半天時(shí)間。但LSY 老濕的蠢萌和法律意識不足，生生把一個(gè)低調(diào)的勒索病毒變成了天安門廣場大型裸奔現(xiàn)場。。。

就這樣，他從一個(gè)默默收徒的小黑客，搖身一變成了兩天之內(nèi)用兩種姿勢連續(xù)攻占百度搜索頭條的男人。。。

事情曝光之后，LSY 的豆瓣頁面上的最后一條攻擊代碼也被他換掉了，只有一行字：

sorry!---太年輕了！

看到這里，一種復(fù)雜的心情涌上我心頭。年輕總會犯錯誤，但有時(shí)我們?yōu)槟贻p付出的代價(jià)，也許過于沉重。

以上一切信息，亮哥都在第一時(shí)間同步給了警方。從公開信息看，各大安全廠商也都把自己掌握的信息交給了警方。

就在2018年12月6日晚上，微博“平安東莞”發(fā)布了一條消息。沒錯，LSY 老濕落網(wǎng)了。。。

根據(jù)警方的信息，羅某某涉嫌利用自制病毒木馬入侵用戶計(jì)算機(jī)，非法獲取淘寶、支付寶、百度網(wǎng)盤、郵箱等各類用戶賬號、密碼數(shù)據(jù)約5萬余條，全網(wǎng)已有超過10萬臺計(jì)算機(jī)被感染。

亮哥給我講的故事，到這里就告一段落了。

但是回望整個(gè)事件，我發(fā)現(xiàn)它的每一個(gè)環(huán)節(jié)，都只能發(fā)生在中國。

從只有中國人才用的“小霸王學(xué)習(xí)機(jī)”易語言，到中國特色的薅羊毛軟件，到通過豆瓣和QQ空間進(jìn)行病毒投放，到微信支付收勒索款，再到這個(gè)22歲的青年所思考的一切。

在川流的忙碌人群背后，有一個(gè)龐大的群體，大多數(shù)時(shí)候他們沉默著，在角落里按照自己的“規(guī)則”生存著。

他們之中，有的人賺盡榮華，坐擁香車美女；

他們之中，也有人四處掙扎，幻想致富良方。

偶爾，他們中的一員被甩到輿論的漩渦中心，被人嬉笑品評，然后黯然退場。

他們，像是中國的影子。

【來源： ? 淺黑科技 ? ? ? ? ? ? ?作者： 史中 】