手機病毒還是電腦病毒？病毒已被破解 入侵電腦后會加密用戶文件

　　近日，一款名為“UNNAMED1989”的微信掃碼支付病毒，通過偽造成私服、外掛工具在電腦端進行。除了鎖死者文件贖金，它還會大肆偷竊支付寶等密碼。

　　據記者了解，截至12月3日，至少已有2萬用戶感染該病毒，被感染電腦數量還在增加。

　　12月4日，騰訊安全團隊宣布，經過緊急處置，已第一時間對該病毒進行破解，并連夜研發解密工具，即便用戶重裝系統或者其他原因丟失密鑰也能完全恢復被加密的文件。

　　支付寶安全中心也表示，早有針對性防護，已第一時間跟進，目前沒有一例支付寶賬戶受到影響，即便密碼泄露也能最大程度地確保賬戶安全。

　　據中毒用戶反映，該病毒入侵電腦運行后，會加密用戶文件，主要是用戶電腦中的txt、JPG、office文檔等有價值數據，加密文件中留下一個“解密工具”的圖標，引導用戶支付贖金。用戶點擊這個圖標后，會跳轉到一個二維碼頁面。用戶通過微信“掃一掃”功能支付110元贖金，黑客描述稱收到贖金后方可解密。

　　這也是國內首次出現要求微信支付贖金的病毒。此前，國外曾多次發生類似的病毒，但均要求用比特幣一類的加密幣支付贖金，以避開警方。

　　值得注意的是，該病毒會跳過一些指定名稱開頭的目錄文件，比如“騰訊游戲”“英雄聯盟”等，而且不會感染使用gif、exe、tmp等擴展名的文件。

　　此外，感染該病毒的電腦，還會記錄并傳輸用戶的鍵盤行為，獲取用戶在各類平臺輸入的密碼信息，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ號等，危害極大。

　　騰訊安全團隊從多個用戶機器提取和后臺數據追溯看，該病毒的源是一款叫 “賬號操作 V3.1”的易語言軟件，可以直接登錄多個QQ賬號實現切換管理。

　　更為嚴重的是，病毒者還利用更新海草多開版.exe、小印象邀請注冊v1.0.vmp.exe、【v軟】披薩頭條多線.vmp.exe、優優群優化1.5.vmp.exe、【海草】多線.exe、更新海草_已激活.exe等黑灰產工具。

　　騰訊安全專家李鐵軍說，病毒者使用的“賬號操作 V3.1”等工具本來可以直接被殺毒軟件查殺，但由于使用上述黑灰產專用工具的用戶，已經習慣了完全殺毒軟件的安全。因而在這些人群中，中招率極高。

　　也就是說，該病毒是先從網絡黑灰產從業者中開始的，有點“黑吃黑”的味道，不過目前該病毒已經開始向普通用戶蔓延。

　　該病毒僅出現數小時后，騰訊電腦管家即發布破解其加密機制，為網友提供多個版本的解密工具。

　　據李鐵軍介紹，目前該工具配合騰訊電腦管家內置的病毒行為攔截功能、文檔守護者功能，已形成三重安全防御體系，做到事前備份、事中攔截、事后破解，最大限度幫助已中招的網友查殺病毒并修復被加密的文件。

　　針對該類病毒的特點，李鐵軍，安裝主流殺毒軟件并保持實時運行狀態，對于已經中招的用戶，推薦使用騰訊電腦管家提供的無密鑰解密文檔工具，可第一時間完全解密并恢復文件。

　　沒有安裝騰訊電腦管家的用戶，也可以單獨下載解密工具，恢復被UNNAMED1989病毒加密的文檔。即使電腦已經重裝過系統，一樣也可以通過該工具完成解密。

　　李鐵軍詳細介紹了防御病毒的正確操作：在事前階段，電腦管家內置的文檔守護者功能可以備份文檔數據，一旦某些極端情況下發生意外，用戶可以使用該功能進行文檔還原;在事中階段，電腦管家內置病毒的行為攔截方案，在防御的情況下，即使是某些未知的病毒，仍然可能防御成功;在事后破解階段，電腦管家團隊已破解該病毒的加密機制，已經中招的用戶，即使重裝了系統或者因其他原因丟失密鑰，也可直接下載使用破解工具，完全恢復加密文檔。

　　昨日，360安全大腦也發布了解密工具，可以幫助不幸中招的電腦用戶解密被加密的文件。

　　此外，瑞星安全專家唐威告訴記者，瑞星也已成功攔截該病毒，升級到最新病毒庫的瑞星殺毒軟件個人和企業版都可以解密恢復文件。

　　唐威提醒電腦用戶，尤其是游戲玩家，不要輕信外掛或私服所聲稱的“殺毒軟件誤報論”，不要輕易把此類程序添加到信任列表中，要求退出殺毒軟件的外掛，不用;個人用戶平時應當養成及時修復漏洞的好習慣，實時正規安全軟件，可有效攔截病毒;服務器管理者還應關注廠商安全更新，及時修復Web應用、數據庫等各類應用平臺的漏洞。

　　昨天上午，支付寶安全中心發布長微博表示，已第一時間跟進病毒事件，目前沒有一例支付寶賬戶受到影響。針對此類風險，支付寶風控系統早有針對性防護，包括二次校驗短信校驗碼、人臉識別等。即便密碼泄露，也能最大程度地確保賬戶安全。

　　據介紹，在智能風控的下，支付寶的資金損失率大約是千萬分之五。即便出現小概率的賬戶被盜，支付寶也承諾會全額賠付。

　　另據安全專家李鐵軍介紹，此次爆發的病毒只限于電腦端，目前尚未發現可以導致手機中毒的變種。不過他提醒用戶，技術上病毒感染手機并不存在障礙，只不過目前由于手機所需資源較多，此類成功率不高。隨著手機性能越來越強大，病毒反而會變得越來越簡單，因此不排除未來產生可以遠程鎖定手機文件的病毒，特別是手機用戶，不要輕易點擊不明鏈接，或者隨意下載未經認證的應用。