PHP彩球问题技巧_微信勒索病毒全纪实打扰了我只是病毒界的杨超越

作者 | 史中

本文经授权转自“浅黑科技”（qianheikeji）

你要相信，这天下上总有那么一种人，自己没想火，却一夜之间火得妈都不认识。
比如参加选秀便是为了2000块钱+盒饭的杨超越。

病毒的天下亦是如此。

前两天，有一个病毒用一种混不吝的姿势冲进了所有人的视野，冲进了百度热搜榜首。
它的名字叫“微信支付打单病毒”，搞得微信匆忙出来发声明。

奇葩的是，就在第二天，又有一个病毒用同样混不吝的姿势冲到了百度热搜榜首。
它的名字叫“支付宝病毒”，搞得支付宝又跑出来发声明。

最奇葩的是，吃瓜群众研究了一圈儿，创造“微信病毒”和“支付宝病毒”竟然是同一个病毒......

连支付宝都懵逼了，发了个微博乞助......

不能更奇葩的是，如果按照瓜友这种命名规则，这个病毒实际上该当叫：“微信支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”......听上去真是一个要上天的病毒啊，作者肯定是个“密室SM中华田园风骚铁骨我擦嘞闹不住侠”吧？

然鹅，就在大家一脸懵逼的时候，群众们已经迅雷不及掩耳盗铃地扒出了病毒作者的姓名、生日、手机号等等全部身份信息。

他居然是一个黏在电脑前面每天 LOL 的1996年小鲜肉......

说实话，中哥自认见多识广，看到这些剧情都慌得一批。
为了搞清事实的原形，我专门去拜访了一位好盆友，他便是 360 安全卫士的安全专家王亮。

王亮和他的好朋友手纸君

听亮哥讲完故事的来龙去脉，全体过程我眼睛都没眨......这时我才确认，这个瓜比想象中狗血一百倍。

这是一个《有中国特色的打单故事》。

下面故事开始。

2018年12月1号，这天是周六，北京笼罩在喷鼻香醇的雾霾中。

亮哥宅在家，通过电脑监控着天下各地的病毒动向。
溘然，“哔哔哔哔哔哔”后台的申说系统弹出几十封告警。
亮哥高呼一声“纳尼！
！
！
”

这个别系相称于用户的“求救旗子暗记”。
一样平常情形下，它是很安静的，除非用户以为有些重大病毒被安全防护软件给漏掉了，才会冒死向专家团队发射“求救旗子暗记”。

亮哥一看，事有蹊跷。
这几十封邮件，全都在投诉一个问题——自己电脑上的文件被莫名其妙的病毒给莫名其妙地给加密了，更雷的是，居然弹出一个微信收款码，说是只要110块，就能帮你解密文件......

推举利用微信支付，讲究看到这个效果，亮哥有点缭乱。
他缭乱在两点：

第一、用微信支付码做打单，跟在派出所里抢劫没啥差异。
警察一查微信的实名认证就能破案，这属于范例的“自尽式打单”，解释作者智商捉急......

第二、林子大了什么鸟都有。
虽然用微信、支付宝作为收款路子的打单病毒，亮哥也不是没见过，但那些病毒一样平常都制作得非常劣质，还没等传播呢，就被各种杀软直接秒掉。
这个病毒居然不知为何能“逃”过安全卫士的监控，解释作者相称厉害......

那么问题来了——这不科学啊，病毒的作者究竟是聪明还是傻呢？

按照规矩，亮哥团队会挨个联系用户，讯问他们究竟发生了神马，然后考试测验远程帮助他们排查电脑的问题。

查了一圈，亮哥更困惑了。
险些所有人电脑里都安装了型号不一的“薅羊毛程序”和“外挂程序”，而这些薅羊毛程序明明被杀毒软件报毒了，却又被用户逼迫拉回了信赖白名单里......

比如像这样薅京东羊毛的↓↓↓

还有这样的↓↓↓

还有这样赞助拼多多发货的↓↓↓

把薅羊毛和外挂程序拿过来一看，果真便是它们，偷偷从网高下载了带有打单功能的病毒木马，也便是那个“微信支付打单病毒”......

问了一圈，亮哥才明白，原来这些薅羊毛程序本来便是每天在法律的边缘猖獗试探，杀毒软件常常会把它们判断为病毒，于是羊毛党们下载了薅羊毛程序，第一件事便是顺手把它们拉进白名单里，见告杀软：“自家兄弟，有话好说......”

这回可好，带着打单病毒的薅羊毛程序，也被归为自家兄弟，杀毒软件被用户“逼迫察看犹豫”，文件都被加密了......

当然，很多带病毒的薅羊毛程序并没有被用户拉进白名单，它们都顺理成章地被杀毒软件干掉了，电脑也不会被加密打单，这些不在本日的故事里。

文件被加密了之后什么样呢？便是下面这样：

亮哥给我截了个图，展示的便是文件被加密往后，所有的 txt、docx、jpg 都打不开，打开也是乱码

说了半天，“羊毛党的叛逆”原来是一场大型乌龙，是他们自己把病毒放行的。
但事情已经发生了，现在主要的问题在于：已经被病毒加密的电脑，有没有办法抢救回来呢？？？

接下来我们来研究一下这个病毒。
把稳，这个病毒是个“打单病毒”，打单病毒是有肃静的。

一样平常情形下，打单病毒会调用 Windows 内部的加密机制，三行代码搞定，锁去世你电脑上的文件，再厉害的密码专家都解不开。

这个“微信支付打单病毒”就厉害了，作者自己写了一个几百行的代码，仿佛用尽了毕生的力气来书写一个你永远都难以解开的谜题。

然鹅，这个加密程序却用了作者自创的“民科加密法”，只须要用工具轻微一算就能解开......

哭笑不得的亮哥定睛一看，不对！

这个加密算法，运行一次是加密的效果。
如果运行两次，也便是加密的根本上再加密，代码又会变成和加密之前千篇一律......就像一枚硬币，翻一次看到背面，翻两次还是正面朝上......（把稳，实现反转的话，病毒程序的代码要做微调，小白勿试，后果自大。
）

已经生无可恋的亮哥又定睛一看，还是不对......

加密之后的秘钥，就悄悄静地躺在硬盘上。
这大概就像：你用一把锁把人家的家门给锁上，然后把钥匙放在门下的脚垫里......然后大摇大摆地说，打钱！

Key文件就存在硬盘里......

怎么说呢，病毒代码的每一行，都能透出作者的不甘平庸，但是终极的效果只能证明，作者尽力了。

12月1号晚上，亮哥把病毒剖析报告传给一位同事，让他去开拓一套“专杀工具”。
工具当然不太繁芜，同事熬了一下夜，第二天清晨就把专杀工具提交上线，这个不在话下。

再转头看亮哥，既然知道病毒造成的统统毁坏都有办法还原，基本就放心了。
接下来，他准备带着兄弟们去追查一下这个病毒究竟是何方神圣。

讲真，病毒界和我们人类天下一样，也能分出三六九等。

如果病毒作者买很多做事器，然后把病毒放在里面，诱骗其他电脑来访问，那么这就属于病毒界的王思聪......

如果病毒作者只是黑了人家的做事器，然后偷偷地“借用”人家的做事器来传播病毒，那这便是病毒界的屌丝......

本日这位“微信打单病毒”属于哪种呢？它称得上是屌丝中的战斗丝......

直接说事理。
把大象装冰箱分三步，这套病毒的事情事理，也分三步：

第一步：用户下载了薅羊毛程序之后，这个程序会偷偷“逛豆瓣”。

是的，你没看错，这个薅羊毛程序便是会访问豆瓣。
当然，它并不是文艺小清新，而是从豆瓣的一个网页里，读取攻击指令。

便是这个网页了，原贴已被删，感谢百度快照。

本来被用来写影评的地方，写了这么一堆乱码，程序读了它，就接管到了一个指令，去哪里下载什么东西。

第二步：“逛豆瓣”之后，它会去“逛QQ空间”。

豆瓣页面里的指令，指向一个 QQ空间，在这个QQ空间里，有张小女孩的图片。
这不是一个普通的小女孩，你看，它的分辨率只有530456，但是它的大小却有6.98M......

由于在这个图片背后，贴着一个“下载器”，可以访问指定的地址下载另一个程序。

把这张图片解压之后，能解出这么一堆文件。

这个指定的地址是哪里呢？还是豆瓣......去豆瓣干什么呢？还是跳到QQ空间找另一个“下载器”。
就这么循环了三次，下载了一堆形态互异的下载器。
终于，末了一个下载器把剧情推进到了第三步。

第三步：下载打单病毒。

末了一个下载器，终于从QQ空间里拿回了两样东西：这第一样我们等下再说，这第二样便是打单病毒本尊。
后面的故事便是把用户电脑上的文件加密，然后弹出微信支付二维码，大家都知道了。

以防你没明白，中哥画张图。
大略来说便是薅羊毛程序下载了一串下载器，末了一个下载器下载了打单病毒。

你看，全体打单流程下来。
它把恶意指令藏到豆瓣，把恶意程序藏到QQ空间，自己不仅连个做事器都不用买，而且连做事器都不用偷。

直策应用豆瓣和QQ的免费做事，黑客攻击的本钱是：零......

听到这，中哥已经跪服了......这个病毒的作者肯定是个勤俭持家的好孩子。
每打单一票赚110块，都是净利润啊......

主线剧情进行到这，却又涌现了一个支线剧情。

那便是我们刚才卖的关子，末了一个下载器从 QQ 空间拿回了两样东西，除了打单病毒，另一个是神马呢？

没错，便是用来记录用户密码的程序。

问：它都可以用来记录什么密码呢？

答：支付宝、京东、网易163邮箱、微博、百度云盘、QQ网页版、天猫、旺旺、酷狗、迅雷。

个中，支付宝的安全做得最好。
一样平常情形下，用户在支付宝页面输入密码的时候，支付宝会探测有没有记录程序在偷偷记录密码。
以是，为了绕过支付宝的检讨，黑客在支付宝的网页之上天生了一个千篇一律的窗口，挡住原来的密码框，骗用户输入密码......

这便是为神马到了第二天，这个病毒又被称为“支付宝病毒”的缘故原由了......

至此，微信和支付宝躺枪的过程完毕。

这个病毒之以是被叫做“微信打单病毒”，是由于它通过微信支付打单钱财。

这个病毒之以是被叫做“支付宝病毒”，是由于它试图盗取用户的支付宝密码。

然鹅，平胸而论，这个病毒并没有只盗取支付宝的密码啊......如果它盗取谁的密码就用谁命名的话，这个病毒该当叫做：“支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

那么这个病毒究竟盗取了多少人的账号和密码呢？卖个关子，末了会揭晓。

我们连续顺着病毒追查。
既然已经得知这么多信息，接下来就可以试着探求病毒作者究竟是谁了。

事到如今，你已经能体会这位病毒作者童鞋的风格了：虽然他破“腚”百出，但只要你把稳，总能找到更奇葩的破腚......

刚才我们说过。
那个薅羊毛程序并不是把“微信打单病毒”下载下来，而是在之前，下载了一些“下载器”，再由下载器把“打单病毒”下载下来。

好的，奇葩的马脚就出在这些“下载器”上。

为了严谨，多说一句。
剖析了一下在真正病毒被下载之前的五个“下载器”，亮哥创造，这些下载器的代码风格和末了的病毒是同等的。
这证明，下载器和终极病毒的作者是一个人。

在个中一个下载器里，作者竟然留下了自己的 GitHub 地址，而这个地址可就厉害了，用户名直接是：“qq1790749886”。
我读书少，但怎么看这都是一个QQ号吧......而在页面里他还留下了一串字符：LSY19960417。
我读书少，但这这分明便是一个名字的缩写和生日好不好。

不用你们动手，中哥替你们搜了一下这个QQ号

1996年，还是个白羊座......听说白羊座干事冲动，星象大师诚不我欺啊。

亮哥说，他刚开始搜到这个QQ号的时候，对方的署名还写着：“收徒，老湿傅带你写外挂。
2300包教包会！
”（当然现在已经改了）

而有一位叫做“雕哥”的热心网友，好奇加了他的QQ，他居然还没意识到发生了什么，要连续去打LOL。

当然，纵然是一个病毒作者，中哥也并不提倡人肉他。
不过实际上，这些信息被公开之后，广大网友已经把这位小哥的详细姓名人肉到了......详细的信息这里就不写了，我们暂且把他称为 LSY 吧。

至此，黑客在安全职员眼中已经遭遇了史诗级的溃败......

说到这，你一定想知道，这位黑客老湿傅究竟赚了多少钱。

当然，这个账号详细的收款详情，只有微信支付才节制，他们并不会公布。
但亮哥回顾了一个有趣的细节。

最开始，亮哥接到“报警”之后，确实有一个受害者说，他已经扫码支付了110块，然后，就没有然后了。

经由逆向这个病毒程序之后，亮哥创造，程序根本就没那么智能，这边付过去110块，那边的 LSY 老湿根本不知道是谁付的钱，又怎么能帮你解锁呢？

而在亮哥考试测验扫那个微信支付码的时候，这个码已经失落效，由于被举报了......举报了......

怎么说呢，很可能那个付款的受害者，是第一个交赎金的，也是末了一个能交进去赎金的......这个故事见告我们：下次碰着微信支付打单，交智商税要趁早。
磨蹭半个小时，想送钱都送不进去了。

故事讲到这里，还有一个最大的疑团没有解开，那便是：LSY 老湿傅，究竟是如何把那一整套“下载病毒的指令”塞进几十款薅羊毛程序里的呢？

你可能猜不到，解开这个谜团的同时，我们顺便又打开了一个新天下的大门......

一个神奇的事实浮出水面：所有传播这个打单病毒的薅羊毛、外挂程序，都有一个惊人的特点，那便是——他们都是用“易措辞”编写的。

你可能会好奇，纳尼？我听说过 C措辞，PHP，Java，啥叫易措辞？

实话实说，中哥在一天以前，也不知道神马是易措辞。

给你两张易措辞编程界面你体会一下。

再来一张人们学习易措辞的场景。

你该当有觉得了。
易措辞是一个纯中文的编程界面，对付广大没有打算机背景，但是却热爱编程的人士“相称友好”。

如果说 C 措辞是任天国的红白机的话，那么易措辞便是——小霸王学习机。

可能你猜不到，易措辞在中国有着巨大巨大的利用群体。
而在易措辞的粉丝中，有一个颇为有名的论坛——精易论坛。

给你看下，精易论坛的觉得......

点击可以看大图，如果你想的话......

我为什么要花这么多韶光来说易措辞呢？由于，整场“微信打单病毒”事宜，实在都只发生在易措辞的天下里。
事情是这样的：

1、LSY 老湿傅，是一个狂热的易措辞爱好者，曾经用易措辞做了一些有用的小工具，发在了精易论坛上。

2、2018年早些时候，LSY 老湿傅动了歪心，他发布了一个带有病毒的小工具，但是很快被细心的网友创造了，回帖说你这个里面有病毒啊......老湿傅羞赧无比，决定回去再苦练几个月......

3、在2018年11月15号，老湿傅重出江湖，在精易论坛揭橥了一个新的小工具“小型软件在线更新方法”。
这是一个易措辞编程的插件，而这个插件里面，就被 LSY 老湿傅植入了“下载器”的恶意代码。

这个恶意代码可就厉害了——它传染的是易措辞的编程程序。

也便是说，一旦下载过这个插件，用它编出来的程序，都是偷偷带有下载器功能的，软件作者并不知情。
而这个下载器能用来下载什么，便是 LSY 老湿傅说了算了。

于是，LSY 通过传染“编程措辞母体”的办法，让母体编写出来的统统程序都天然带有病毒。
就像那些恐怖的基因疾病一样，如果母亲具有患病基因，那么孩子也会天然带有这种疾病。

于是，一场恐怖的扩散就此开始。

讲真，这种攻击母体的方法，在黑客界已经非常出名。
乃至它还有一个名字，叫做“软件供应链攻击”。

这种攻击非常有效，扩散起来非常迅速。
但是，真正的成熟黑客，一样平常不会选用这种攻击办法，缘故原由是神马呢？

没错，便是掌握不住事态......

病毒干的这些事，盗取信息、打单，本来该当是低调进行的。
这就像抢劫团伙，本来该当夜黑风高之时在僻静的小胡同里，堵住一个弱小的姑娘要钱。
没听说过哪个抢劫团伙到王府井地铁站，每人把守一个出口，站在安检阁下挨个要钱的......

但是，传染母体软件之后，病毒作者是没办法掌握其他人用这些母体编写多少新程序出来的，病毒作者也没办法掌握这些新编出来的带毒软件究竟会有多火，会有多少人利用。

这就像你打台球的时候，

把白球直接打进洞很随意马虎，

但是用白球撞彩球进洞就更难掌握准星，

如果你能让五颗球连续撞击最后进洞，那你便是天下级选手了。

换句话说，就像一个小孩子扛起了火箭炮，他对接下来发生的事情根本无法掌握......

这样一看，统统就都明白了：

“微信打单病毒”，本来便是 LSY 老湿想要小范围传播的打单软件，于是根本都没做什么伪装，还用了微信支付码，估计在贰心里，估量这个病毒会传染几十人，然后个中十个人付赎金，赚个一千多块钱完事。

没想到，中国公民对付薅羊毛这件事情过于热衷，导致几万人利用了带毒的薅羊毛程序，超出了他的预见，直接惊动了中国几大杀毒软件......

事实也证明，病毒从开始传播到各大安全厂商清剿，统共用了半天韶光。
但LSY 老湿的蠢萌和法律意识不敷，生生把一个低调的打单病毒变成了天安门广场大型裸奔现场......

就这样，他从一个默默收徒的小黑客，摇身一变成了两天之内用两种姿势连续攻占百度搜索头条的男人......

事情曝光之后，LSY 的豆瓣页面上的末了一条攻击代码也被他换掉了，只有一行字：

sorry!---太年轻了！

看到这里，一种繁芜的心情涌上我心头。
年轻总会犯缺点，但有时我们为年轻付出的代价，大概过于沉重。

以上统统信息，亮哥都在第一韶光同步给了警方。
从公开信息看，各大安全厂商也都把自己节制的信息交给了警方。

就在2018年12月6日晚上，微博“安然东莞”发布了一条。
没错，LSY 老湿落网了......

根据警方的信息，罗某某涉嫌利用低廉甜头病毒木马入侵用户打算机，造孽获取淘宝、支付宝、百度网盘、邮箱等各种用户账号、密码数据约5万余条，全网已有超过10万台打算机被传染。

亮哥给我讲的故事，到这里就告一段落了。

但是回望全体事宜，我创造它的每一个环节，都只能发生在中国。

从只有中国人才用的“小霸王学习机”易措辞，到中国特色的薅羊毛软件，到通过豆瓣和QQ空间进行病毒投放，到微信支付收打单款，再到这个22岁的青年所思考的统统。

在川流的劳碌人群背后，有一个弘大的群体，大多数时候他们沉默着，在角落里按照自己的“规则”生存着。

他们之中，有的人赚尽荣华，坐拥喷鼻香车美女；

他们之中，也有人四处挣扎，抱负致富良方。

偶尔，他们中的一员被甩到舆论的漩涡中央，被人嬉笑批驳，然后黯然退场。

他们，像是中国的影子。