Problemas de combinación de números en programación en lenguaje sencillo
Recientemente, muchos equipos de seguridad de redes han recibido solicitudes de ayuda de usuarios, alegando que sus computadoras han sido atacadas por virus ransomware y que los archivos de sus computadoras han sido cifrados. El análisis del equipo de seguridad mencionado anteriormente confirmó que el virus es un nuevo tipo de virus ransomware que cifrará los archivos del usuario después de invadir la computadora y ejecutarla. Lo que es diferente del pasado es que el virus no cobra Bitcoin, pero requiere que la víctima escanee el código QR emergente de WeChat y pague un rescate de 110 yuanes para obtener la clave de descifrado. Esta es la primera vez que un virus ransomware lo hace. apareció en China que exige que WeChat pague un rescate. Actualmente, Tencent ha prohibido la cuenta WeChat del atacante y el código QR de pago.
Gen reveló que hasta el 6 de diciembre, más de 100.000 usuarios habían sido infectados con el virus y el número de computadoras infectadas seguía creciendo. Además de cifrar los archivos de las computadoras de los usuarios, también robó Alipay y otros. contraseñas. El virus ataca los ordenadores de los desarrolladores de software e infecta un módulo en el "Easy Language" que utilizan para programar. Como resultado, todo el software programado por los desarrolladores que utilizan "Easy Language" lleva el virus ransomware. Después de que una gran cantidad de usuarios descarguen este software "tóxico", quedarán infectados con el virus ransomware. El proceso de transmisión es muy simple, pero el método de contaminar "Yiyu" y luego infectar el software es relativamente raro.
Entonces, ¿qué es el idioma Yi? Yi Language es un lenguaje de programación que utiliza caracteres chinos como códigos de programa. Es famoso por su "fácil", lo que facilita a los chinos escribir programas con pensamiento chino, lo que reduce en gran medida el umbral de programación y la dificultad de aprendizaje. Desde el año 2000, el número de usuarios del idioma Yi ha crecido a gran escala.
Los expertos en seguridad de 360 rastrearon y descubrieron que la fuente del ransomware provenía de un módulo de desarrollo de lenguaje Yi que tenía código malicioso insertado en él. El software compilado por programadores que usaban este módulo de desarrollo se cargaba automáticamente con virus. En la actualidad, se ha confirmado que una gran cantidad de herramientas de complemento, software de cepillado, software de codificación, servidores privados y otras aplicaciones desarrolladas por terceros han sido infectados.
El código del virus se llama utilizando el método "blanco más negro". El código del virus se llama con un archivo blanco con una firma digital Tencent válida porque el programa no detecta al destinatario al llamar a la biblioteca dinámica. Por lo tanto, se llama a la biblioteca dinámica de virus llamada libcef.dll y finalmente ejecuta código malicioso.
Estas aplicaciones de "alto riesgo" luego se envían a las víctimas a través de QQ, uso compartido de grupos QQ, uso compartido de discos de red, publicaciones en foros, etc. Después de que la víctima lo ejecute, la máquina quedará infectada con el troyano de descarga, y luego el troyano de descarga instalará otros programas maliciosos, incluido el tan discutido virus ransomware "WeChat Pay".
Esta herramienta es utilizada por personas que trabajan en industrias grises. Muchas de las herramientas utilizadas por este grupo de personas serán revisadas y eliminadas por el software antivirus. A menudo ignoran las indicaciones de interceptación del software antivirus. . Por lo tanto, la propagación dirigida de este virus ransomware a los profesionales de la industria gris es muy eficaz.
Vale la pena señalar que, aunque el autor del virus afirmó falsamente que estaba usando el algoritmo de cifrado DES, en realidad era un cifrado XOR simple y los datos relacionados con la clave de descifrado se almacenaron en %user%\AppData. \Roaming\ unname_1989\dataFile\appCfg.cfg. Así, incluso sin acceder al servidor del autor del virus, el descifrado de datos se puede completar con éxito. Sin embargo, todavía se recomienda que los desarrolladores que utilizan el módulo "Easy Language" realicen un análisis de virus lo antes posible, y los usuarios normales deberían intentar descargar el software de canales formales. Los desarrolladores de software habituales realizan controles de seguridad exhaustivos antes de lanzar el software y utilizan certificados de firma de código para firmar digitalmente el software y evitar que virus ransomware lo manipulen maliciosamente.
El uso del certificado de firma de código GDCA de Data Security Era puede evitar que el software sea manipulado por virus ransomware maliciosos y proteger la seguridad del sitio web. Si el problema encontrado por el usuario no se puede resolver, puede buscar ayuda a través del servicio de atención al cliente del sitio web oficial de DataAn GDCA. Para los usuarios del sitio web que eligen el certificado SSL GDCA de DataAn, GDCA puede proporcionar firma de código individualizada y gratuita. soporte de implementación técnica de certificados sin ninguna exención. No te preocupes.