近日，国内首次出现了要求微信支付赎金的勒索病毒。这款病毒的勒索方式和“WannaCry”一样，入侵电脑运行后会加密用户文件，但是它不收取比特币，而是要求受害者扫描弹出的微信支付二维码交付赎金。

感染十万台电脑

根据“火绒威胁情报系统”监测和评估，截至12月4日晚，该病毒至少感染了10万台电脑，不仅会加密用户存储在电脑的文件，还窃取了数万条淘宝、支付宝等平台的用户密码等信息。不妨先简单看一下事情的经过，12月1日，火绒安全实验室发布报告称，近期火绒团队接到用户反馈，使用“微信二维码扫描”进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播——该病毒为新型勒索病毒，入侵电脑运行后，会加密用户文件，但不收取比特币，而是要求受害者扫描弹出的微信二维码支付110元赎金，获得解密钥匙，这也是国内首次出现要求微信支付赎金的勒索病毒。

12月2日，火绒团队表示该勒索病毒已被其成功破解，并发布了解密工具。随后，360、腾讯等厂商也升级产品，并发布各自的解密工具。声称使用这些安全软件即可查杀该病毒，已经被感染用户，可以使用这些解密工具还原被锁死的文件。如果密钥文件被删除，也可联系安全团队尝试解密。

病毒的传播已破解并已控制

根据火绒安全的分析和溯源，该病毒使用“供应链污染”的方式传播。这款名为Bcrypt 的病毒首先通过相关论坛，植入被大量开发者使用的“易语言”编程程序，进而植入他们编写的各种软件产品，所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款，其中多数是"薅羊毛"类灰色软件。

火绒团队发现，病毒制造者利用豆瓣等平台当作下发指令的 C&C 服务器。火绒团队通过逆向分析病毒的下发指令，成功解密出其中2台病毒服务器，发现大量被病毒窃取的用户个人信息。仅1台用于存储数据的病毒服务器，就存放了窃取来的淘宝、支付宝等账户密码两万余条。

火绒团队的分析表明，微信支付、支付宝和豆瓣等平台，均与该病毒的传播和作恶没有直接关系，也没有发现有系统漏洞被利用。微信在12月1日当天关闭了勒索赎金的账号，豆瓣12月4日删除了病毒下发指令的页面，控制了病毒的进一步传播。

这个病毒“不高级”

12月5日，据国内几家网络安全公司的消息，他们已初步锁定病毒制造者，嫌疑人是一名95后姓罗的男子，并已将这些信息移交警方。据安全专家表示，病毒本身写得很一般，很轻松就完全解密了，专业的病毒作者恐怕也不会使用实名制的移动支付二维码收钱。

事实上，这类直接感染源代码或代码编译程序的手法，我们对此应该都不陌生。2015年9月，就曾出现过震惊世界的iOS应用感染XCodeGhost病毒的事件。由于大量苹果开发者使用了被感染的XCode开发工具，导致众多 iOS 应用携带了恶意代码，盗取用户信息。其中甚至包括了很多几乎所有人都会使用的一些“必备应用”，也均未能幸免。

这次“微信支付”勒索病毒，类似于当年的 XCodeGhost 事件，都是利用程序开发工具作为病毒传播的载体，通过下载开发再下载的路径进行扩散。有行业人士表示，这个操作“不高级”。