你要相信，這世界上總有那么一種人，自己沒想火，卻一夜之間火得媽都不認識。比如參加選秀就是為了2000塊錢+盒飯的楊超越。

病毒的世界亦是如此。

前兩天，有一個病毒用一種混不吝的姿勢沖進了所有人的視野，沖進了百度的熱搜榜首。它的名字叫“微信支付勒索病毒”。搞得微信慌忙出來發聲明。。。

奇葩的是，就在第二天，又有一個病毒用同樣混不吝的姿勢沖到了百度熱搜榜首。它的名字叫“支付寶病毒”。搞得支付寶又跑出來發聲明。。。

最奇葩的是，吃瓜群眾研究了一圈兒，發現“微信病毒”和“支付寶病毒”竟然TMD是同一個病毒。。。

連支付寶都懵逼了，發了個微博求助。。。

不能更奇葩的是，如果按照瓜友這種命名規則，這個病毒實際上應該叫：“微信支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒”。。。

聽上去真是一個要上天的病毒啊，作者肯定是個“密室SM中華田園風騷鐵骨我擦嘞鬧不住俠”吧？

然鵝，就在大家一臉懵逼的時候，群眾們已經迅雷不及掩耳盜鈴地扒出了病毒作者的姓名、生日、手機號等等全部身份信息。

他居然是一個黏在電腦前面每天 LOL 的1996年小鮮肉。。。

說實話，中哥自認見多識廣，看到這些劇情都慌得一批。

為了搞清事實的真相，我專門去拜訪了一位好盆友，他就是 360 安全衛士的安全專家王亮。

聽亮哥講完故事的來龍去脈，整個過程我眼睛都沒眨。。。這時我才確認，這個瓜比想象中狗血一百倍。

這是一個《有中國特色的勒索故事》……

究竟誰感染了“微信勒索病毒”——羊毛黨的起義

2018年12月1號，這天是周六，北京籠罩在香醇的霧霾中。

亮哥宅在家，通過電腦監控著世界各地的病毒動向。

突然，“嗶嗶嗶嗶嗶嗶”后臺的申訴系統彈出幾十封告警。亮哥高呼一聲“納尼！！！”

這個系統相當于用戶的“求救信號”。一般情況下，它是很安靜的，除非用戶覺得有些重大病毒被安全衛士給漏掉了，才會拼命向專家團隊發射“求救信號”。

亮哥一看，事有蹊蹺。這幾十封郵件，全都在投訴一個問題——自己電腦上的文件被莫名其妙的病毒給莫名其妙地給加密了，更雷的是，居然彈出一個微信收款碼，說是只要110塊，就能幫你解密文件。。。

推薦使用微信支付，講究。

看到這個效果，亮哥有點凌亂。他凌亂在兩點：

第一、用微信支付碼做勒索，跟在派出所里搶劫沒啥區別。警察一查微信的實名認證就能破案，這屬于典型的“自殺式勒索”，說明作者智商捉急……

第二、林子大了什么鳥都有。雖然用微信、支付寶作為收款途徑的勒索病毒，亮哥也不是沒見過，但那些病毒一般都制作得非常劣質，還沒等傳播呢，就被各種殺軟直接秒掉。這個病毒居然不知為何能“逃”過安全衛士的監控，說明作者相當厲害。。。

那么問題來了——這不科學啊，病毒的作者究竟是聰明還是傻呢？

按照規矩，亮哥團隊會挨個聯系用戶，詢問他們究竟發生了神馬，然后嘗試遠程幫助他們排查電腦的問題。

查了一圈，亮哥更困惑了。幾乎所有人電腦里都安裝了型號不一的“薅羊毛程序”和“外掛程序”，而這些薅羊毛程序明明被殺毒軟件報毒了，卻又被用戶強制拉回了信任白名單里。。。

比如像這樣薅京東羊毛的↓↓↓

還有這樣的↓↓↓

還有這樣輔助拼多多發貨的↓↓↓

把薅羊毛和外掛程序拿過來一看，果然就是他們，偷偷從網上下載了帶有勒索功能的病毒木馬，也就是那個“微信支付勒索病毒”。。。

問了一圈，亮哥才明白，原來這些薅羊毛程序，本來就是天天在法律的邊緣瘋狂試探，殺毒軟件經常會把它們判斷為病毒，于是羊毛黨們下載了薅羊毛程序，第一件事就是順手把它們拉進白名單里，告訴殺軟：“自家兄弟，有話好說。。。”

這回可好，帶著勒索病毒的薅羊毛程序，也被歸為自家兄弟，殺毒軟件被用戶“強制旁觀”，文件都被加密了。。。

（當然，很多帶病毒的薅羊毛程序并沒有被用戶拉進白名單，它們都順理成章地被殺毒軟件干掉了，電腦也不會被加密勒索，這些不在今天的故事里。）

文件被加密了之后什么樣呢？就是下面這樣：

亮哥給我截了個圖，展示的就是文件被加密以后，所有的 txt、docx、jpg 都打不開，打開也是亂碼。

你知道病毒作者有多努力嗎？

說了半天，“羊毛黨的起義”原來是一場大型烏龍，是他們自己把病毒放行的。但事情已經發生了，現在重要的問題在于：已經被病毒加密的電腦，有沒有辦法搶救回來呢？？？

接下來我們來研究一下這個病毒。注意，這個病毒是個“勒索病毒”，勒索病毒是有尊嚴的。

一般情況下，勒索病毒會調用 Windows 內部的加密機制，三行代碼搞定，鎖死你電腦上的文件，再厲害的密碼專家都解不開。

這個“微信支付勒索病毒”就厲害了，作者自己寫了一個幾百行的代碼，仿佛用盡了畢生的氣力來書寫一個你永世都難以解開的謎題。

然鵝，這個加密程序卻用了作者自創的“民科加密法”，只需要用工具稍微一算就能解開。。。

哭笑不得的亮哥定睛一看，不對！

這個加密算法，運行一次是加密的效果。如果運行兩次，也就是加密的基礎上再加密，代碼又會變成和加密之前一模一樣。。。就像一枚硬幣，翻一次看到背面，翻兩次還是正面朝上。。。。（注意，實現反轉的話，病毒程序的代碼要做微調，小白勿試，后果自負。）

已經生無可戀的亮哥又定睛一看，還是不對。。。

加密之后的秘鑰，就靜悄悄地躺在硬盤上。這大概就像：你用一把鎖把人家的家門給鎖上，然后把鑰匙放在門下的腳墊里。。。然后大搖大擺地說，打錢！

Key文件就存在硬盤里。。。

怎么說呢，病毒代碼的每一行，都能透出作者的不甘平庸，但是最終的效果只能證明，作者盡力了。。。

12月1號晚上，亮哥把病毒分析報告傳給一位同事，讓他去開發一套“專殺工具”。工具當然不太復雜，同事熬了一下夜，第二天早晨就把專殺工具提交360安全衛士上線，這個不在話下。

再回頭看亮哥，既然知道病毒造成的一切破壞都有辦法還原，基本就放心了。接下來，他準備帶著兄弟們去追查一下這個病毒究竟是何方神圣。

微信、支付寶以及十大互聯網公司躺槍

講真，病毒界和我們人類世界一樣，也能分出三六九等。

如果病毒作者買很多服務器，然后把病毒放在里面，誘騙其他電腦來訪問，那么這就屬于病毒界的王思聰。。。

如果病毒作者只是黑了人家的服務器，然后偷偷地“借用”人家的服務器來傳播病毒，那這就是病毒界的屌絲。。。

今天這位“微信勒索病毒”屬于哪種呢？它稱得上是屌絲中的戰斗絲。。。

直接說原理。把大象裝冰箱分三步，這套病毒的工作原理，也分三步：

第一步：用戶下載了薅羊毛程序之后，這個程序會偷偷“逛豆瓣”。。。

是的，你沒看錯，這個薅羊毛程序就是會訪問豆瓣。當然，它并不是文藝小清新，而是從豆瓣的一個網頁里，讀取攻擊指令。

就是這個網頁了，原貼已被刪，感謝百度快照。。。

本來被用來寫影評的地方，寫了這么一堆亂碼，程序讀了它，就接受到了一個指令，去哪里下載什么東西。

第二步：“逛豆瓣”之后，它會去“逛QQ空間”

豆瓣頁面里的指令，指向一個 QQ空間，在這個QQ空間里，有張小女孩的圖片。這不是一個普通的小女孩，你看，它的分辨率只有530*456，但是它的大小卻有6.98M。。。

因為在這個圖片背后，貼著一個“下載器”，可以訪問指定的地址下載另一個程序。

（把這張圖片解壓之后，能解出這么一堆文件。。。）

這個指定的地址是哪里呢？還是豆瓣。。。。去豆瓣干什么呢？還是跳到QQ空間找另一個“下載器”。就這么循環了三次，下載了一堆形態各異的下載器。終于，最后一個下載器把劇情推進到了第三步。

第三步：下載勒索病毒。

最后一個下載器，終于從QQ空間里拿回了兩樣東西：這第一樣我們等下再說，這第二樣就是勒索病毒本尊。后面的故事就是把用戶電腦上的文件加密，然后彈出微信支付二維碼，大家都知道了。

以防你沒明白，中哥畫張圖。簡單來說就是薅羊毛程序下載了一串下載器，最后一個下載器下載了勒索病毒。

你看，整個勒索流程下來。它把惡意指令藏到豆瓣，把惡意程序藏到 QQ 空間，自己不僅連個服務器都不用買，而且連服務器都不用偷。

直接利用豆瓣和QQ的免費服務，黑客攻擊的成本是：零。。。

聽到這，中哥已經跪服了。。。這個病毒的作者肯定是個勤儉持家的好孩子。每勒索一票賺110塊，都是凈利潤啊。。。

主線劇情進行到這，卻又出現了一個支線劇情。

那就是我們剛才賣的關子，最后一個下載器從 QQ 空間拿回了兩樣東西，除了勒索病毒，另一個是神馬呢？

沒錯，就是用來記錄用戶密碼的程序。

問：它都可以用來記錄什么密碼呢？

答：支付寶、京東、網易163郵箱、微博、百度云盤、QQ網頁版、天貓、旺旺、酷狗、迅雷。

其中，支付寶的安全做得最好。一般情況下，用戶在支付寶頁面輸入密碼的時候，支付寶會探測有沒有記錄程序在偷偷記錄密碼。所以，為了繞過支付寶的檢查，黑客在支付寶的網頁之上生成了一個一模一樣的窗口，蓋住原本的密碼框，騙用戶輸入密碼。。。

這就是為神馬到了第二天，這個病毒又被稱為“支付寶病毒”的原因了。。。。

至此，微信和支付寶躺槍的過程完畢。

這個病毒之所以被叫做“微信勒索病毒”，是因為它通過微信支付勒索錢財。

這個病毒之所以被叫做“支付寶病毒”，是因為它試圖盜取用戶的支付寶密碼。

然鵝，平胸而論，這個病毒并沒有只盜取支付寶的密碼啊。。。如果它盜取誰的密碼就用誰命名的話，這個病毒應該叫做：

“支付寶京東網易微博百度QQ天貓旺旺酷狗迅雷病毒”

那么這個病毒究竟盜取了多少人的賬號和密碼呢？賣個關子，最后會揭曉。

我們繼續順著病毒追查。既然已經得知這么多信息，接下來就可以試著尋找病毒作者究竟是誰了。

病毒作者浮出水面

事到如今，你已經能體會這位病毒作者童鞋的風格了：雖然他破“腚”百出，但只要你留心，總能找到更奇葩的破腚。。。

剛才我們說過。那個薅羊毛程序并不是把“微信勒索病毒”下載下來，而是在之前，下載了一些“下載器”，再由下載器把“勒索病毒”下載下來。

好的，奇葩的破綻就出在這些“下載器”上。

為了嚴謹，多說一句。分析了一下在真正病毒被下載之前的五個“下載器”，亮哥發現，這些下載器的代碼風格和最后的病毒是一致的。這證明，下載器和最終病毒的作者是一個人。

在其中一個下載器里，作者竟然留下了自己的 GitHub 地址，而這個地址可就厲害了，用戶名直接是：“qq179074XXXX”。我讀書少，但怎么看這都是一個QQ號吧。。。而在頁面里他還留下了一串字符：LSY1996XXXX。我讀書少，但這這分明就是一個名字的縮寫和生日好不好。。。

不用你們動手，

中哥替你們搜了一下這個QQ號。

1996年，還是個白羊座。。。聽說白羊座做事沖動，星象大師誠不我欺啊。

亮哥說，他剛開始搜到這個QQ號的時候，對方的簽名還寫著：“收徒，老濕傅帶你寫外掛。2300包教包會！”（當然現在已經改了）

而有一位叫做“雕哥”的熱心網友，好奇加了他的QQ，他居然還沒意識到發生了什么，要繼續去打LOL。

當然，即使是一個病毒作者，中哥也并不提倡人肉他。不過實際上，這些信息被公開之后，廣大網友已經把這位小哥的具體姓名人肉到了。。。具體的信息這里就不寫了，我們暫且把他稱為 LSY 吧。

至此，黑客在安全人員眼中已經遭遇了史詩級的潰敗。。。

說到這，你一定想知道，這位黑客老濕傅究竟賺了多少錢。

當然，這個賬號具體的收款詳情，只有微信支付才掌握，他們并不會公布。但亮哥回憶了一個有趣的細節。

最開始，亮哥接到“報警”之后，確實有一個受害者說，他已經掃碼支付了110塊，然后，就沒有然后了。

經過逆向這個病毒程序之后，亮哥發現，程序根本就沒那么智能，這邊付過去110塊，那邊的 LSY 老濕根本不知道是誰付的錢，又怎么能幫你解鎖呢。。。。

而在亮哥嘗試掃那個微信支付碼的時候，這個碼已經失效，因為被舉報了。。。舉報了。。。

怎么說呢，很可能那個付款的受害者，是第一個交贖金的，也是最后一個能交進去贖金的。。。這個故事告訴我們：下次遇到微信支付勒索，交智商稅要趁早。磨蹭半個小時，想送錢都送不進去了。

故事講到這里，還有一個最大的疑團沒有解開，那就是：LSY 老濕傅，究竟是如何把那一整套“下載病毒的指令”塞進幾十款薅羊毛程序里的呢？

你可能猜不到，解開這個謎團的同時，我們順便又打開了一個新世界的大門。。。

神秘的組織：易語言

一個神奇的事實浮出水面：

所有傳播這個勒索病毒的薅羊毛、外掛程序，都有一個驚人的特點，那就是——他們都是用“易語言”編寫的。

你可能會好奇，納尼？我聽說過 C語言，PHP，Java，啥叫易語言？

實話實說，中哥在一天以前，也不知道神馬是易語言。

給你兩張易語言編程界面你體會一下。

你應該有感覺了。易語言是一個純中文的編程界面，對于廣大沒有計算機背景，但是卻熱愛編程的人士“相當友好”。

如果說 C 語言是任天堂的紅白機的話，那么易語言就是——小霸王學習機。

可能你猜不到，易語言在中國有著巨大的使用群體。

而在易語言的粉絲中，有一個頗為有名的論壇——精易論壇。

給你看下，精易論壇的感覺。。。

我為什么要花這么多時間來說易語言呢？因為，整場“微信勒索病毒”事件，其實都只發生在易語言的世界里。事情是這樣的：

1、LSY 老濕傅，是一個狂熱的易語言愛好者，曾經用易語言做了一些有用的小工具，發在了精易論壇上。

2、2018年早些時候，LSY 老濕傅動了歪心，他發布了一個帶有病毒的小工具，但是很快被細心的網友發現了，回帖說你這個里面有病毒啊。。。老濕傅羞赧無比，決定回去再苦練幾個月。。。

3、在2018年11月15號，老濕傅重出江湖，在精易論壇發表了一個新的小工具“小型軟件在線更新方法”。這是一個易語言編程的插件。而這個插件里面，就被 LSY 老濕傅植入了“下載器”的惡意代碼。

這個惡意代碼可就厲害了——它感染的是易語言的編程程序。

也就是說，一旦下載過這個插件，用它編出來的程序，都是偷偷帶有下載器功能的，軟件作者并不知情。而這個下載器能用來下載什么，就是 LSY 老濕傅說了算了。

于是，LSY 通過感染“編程語言母體”的方式，讓母體編寫出來的一切程序都天然帶有病毒。就像那些可怕的基因疾病一樣，如果母親具有患病基因，那么孩子也會天然帶有這種疾病。

于是，一場可怕的擴散就此開始。

一場華麗的當眾裸奔

講真，這種攻擊母體的方法，在黑客界已經非常出名。甚至它還有一個名字，叫做“軟件供應鏈攻擊”。

這種攻擊非常有效，擴散起來非常迅速。但是，真正的成熟黑客，一般不會選用這種攻擊方式，原因是神馬呢？

沒錯，就是控制不住事態。。。

病毒干的這些事，盜取信息、勒索，本來應該是低調進行的。這就像搶劫團伙，本來應該夜黑風高之時在僻靜的小胡同里，堵住一個弱小的姑娘要錢。沒聽說過哪個搶劫團伙到王府井地鐵站，每人把守一個出口，站在安檢旁邊挨個要錢的。。。

但是，感染母體軟件之后，病毒作者是沒辦法控制其他人用這些母體編寫多少新程序出來的，病毒作者也沒辦法控制這些新編出來的帶毒軟件究竟會有多火，會有多少人使用。

這就像你打臺球的時候，

把白球直接打進洞很容易，

但是用白球撞彩球進洞就更難控制準星，

如果你能讓五顆球連續撞擊最后進洞，那你就是世界級選手了。

換句話說，就像一個小孩子扛起了火箭炮，他對接下來發生的事情根本無法控制。。。。

這樣一看，一切就都明白了：

“微信勒索病毒”，本來就是 LSY 老濕想要小范圍傳播的勒索軟件，于是根本都沒做什么偽裝，還用了微信支付碼，估計在他心里，預計這個病毒會感染幾十人，然后其中十個人付贖金，賺個一千多塊錢完事。

沒想到，中國人民對于薅羊毛這件事情過于熱衷，導致幾萬人使用了帶毒的薅羊毛程序，超出了他的預料，直接驚動了中國幾大殺毒軟件。。。

事實也證明，病毒從開始傳播到各大安全廠商剿滅，總共用了半天時間。但LSY 老濕的蠢萌和法律意識不足，生生把一個低調的勒索病毒變成了天安門廣場大型裸奔現場。。。

就這樣，他從一個默默收徒的小黑客，搖身一變成了兩天之內用兩種姿勢連續攻占百度搜索頭條的男人。。。

事情曝光之后，LSY 的豆瓣頁面上的最后一條攻擊代碼也被他換掉了，只有一行字：

sorry!---太年輕了！

看到這里，一種復雜的心情涌上我心頭。年輕總會犯錯誤，但有時我們為年輕付出的代價，也許過于沉重。

以上一切信息，亮哥都在第一時間同步給了警方。從公開信息看，各大安全廠商也都把自己掌握的信息交給了警方。

就在2018年12月6日晚上，微博“平安東莞”發布了一條消息。沒錯，LSY 老濕落網了。。。

根據警方的信息，羅某某涉嫌利用自制病毒木馬入侵用戶計算機，非法獲取淘寶、支付寶、百度網盤、郵箱等各類用戶賬號、密碼數據約5萬余條，全網已有超過10萬臺計算機被感染。

亮哥給我講的故事，到這里就告一段落了。

但是回望整個事件，我發現它的每一個環節，都只能發生在中國。

從只有中國人才用的“小霸王學習機”易語言，到中國特色的薅羊毛軟件，到通過豆瓣和QQ空間進行病毒投放，到微信支付收勒索款，再到這個22歲的青年所思考的一切。

在川流的忙碌人群背后，有一個龐大的群體，大多數時候他們沉默著，在角落里按照自己的“規則”生存著。

他們之中，有的人賺盡榮華，坐擁香車美女；

他們之中，也有人四處掙扎，幻想致富良方。

偶爾，他們中的一員被甩到輿論的漩渦中心，被人嬉笑品評，然后黯然退場。

他們，像是中國的影子。

【來源： 淺黑科技             作者：史中】