自12月1日爆發(fā)的“微信支付”勒索病毒正在快速傳播，感染的電腦數(shù)量越來(lái)越多。病毒團(tuán)伙入侵并利用豆瓣的C&C服務(wù)器，除了鎖死受害者文件勒索贖金（支付通道已經(jīng)關(guān)閉），還大肆偷竊支付寶等密碼。

日均感染量圖，最高13134臺(tái)（從病毒服務(wù)器獲取的數(shù)據(jù)）

沒(méi)錯(cuò)，狡猾的黑客們這次放棄了把比特幣當(dāng)作贖金這種“不接地氣”的勒索方式，而是發(fā)起微信二維碼掃描進(jìn)行勒索贖金支付（勒索病毒Bcrypt）。用戶(hù)中毒重啟電腦后，會(huì)彈出勒索信息提示窗口，讓用戶(hù)掃描微信二維碼支付110元贖金進(jìn)行文件解密。

病毒作者謊騙用戶(hù)稱(chēng)“因密鑰數(shù)據(jù)較大如超出個(gè)這時(shí)間（即2天后）服務(wù)器會(huì)自動(dòng)刪除密鑰，此解密程序?qū)⑹А?，但?shí)際解密密鑰存放在用戶(hù)本地，在不訪問(wèn)病毒作者服務(wù)器的情況下，也完全可以成功解密。如下圖所示：

據(jù)火絨安全團(tuán)隊(duì)分析，該病毒巧妙地利用“供應(yīng)鏈污染”的方式進(jìn)行傳播。

病毒作者首先攻擊軟件開(kāi)發(fā)者的電腦，感染其用以編程的“易語(yǔ)言”中的一個(gè)模塊，導(dǎo)致開(kāi)發(fā)者所有使用“易語(yǔ)言”編程的軟件均攜帶該勒索病毒。廣大用戶(hù)下載這些“帶毒”軟件后，就會(huì)感染該勒索病毒。整過(guò)傳播過(guò)程很簡(jiǎn)單，但污染“易語(yǔ)言”后再感染軟件的方式卻比較罕見(jiàn)。

另外，該勒索病毒開(kāi)始勒索前，會(huì)在本地生成加密、解密相關(guān)數(shù)據(jù)，火絨工程師根據(jù)這些數(shù)據(jù)成功提取到了密鑰。此外，該勒索病毒只加密用戶(hù)的桌面文件，并會(huì)跳過(guò)一些指定名稱(chēng)開(kāi)頭的目錄文件，包括“騰訊游戲、英雄聯(lián)盟、tmp、rtl、program”，而且不會(huì)感染使用gif、exe、tmp等擴(kuò)展名的文件。

值得一提的是，該病毒會(huì)利用帶有騰訊簽名的程序調(diào)用病毒代碼，來(lái)躲避安全軟件的查殺。

截止到12月3日，已有超過(guò)兩萬(wàn)用戶(hù)感染該病毒，并且被感染電腦數(shù)量還在增長(zhǎng)。

供應(yīng)鏈污染流程

此外，火絨安全團(tuán)隊(duì)發(fā)現(xiàn)病毒制作者利用豆瓣等平臺(tái)當(dāng)作下發(fā)指令的C&C服務(wù)器，工程師通過(guò)解密下發(fā)的指令后，獲取其中一個(gè)病毒后臺(tái)服務(wù)器，發(fā)現(xiàn)病毒作者已秘密收取數(shù)萬(wàn)條淘寶、天貓等賬號(hào)信息。

也就是說(shuō)，中招用戶(hù)可能損失的不止是錢(qián)還有被該病毒竊取的各類(lèi)賬戶(hù)密碼，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤(pán)、京東、QQ賬號(hào)。

根據(jù)專(zhuān)家建議，感染用戶(hù)除了殺毒和解密被鎖死的文件外，應(yīng)盡快修改上述平臺(tái)密碼。