扫羊毛也能提取电脑病毒？

前几天公司的小伙伴突然下载了联通手机营业厅。 仔细追问，原来是联通突然搞了一波年终福利。 小羊毛~

只要邀请7人，即可获得价值20元的京东E卡一张，还可以获得平安夜必中奖。 对运营商没有限制，不管你是移动电信还是固话。 门槛极低。 .

俗话说，哪里有福利，哪里就有羊毛党~

果不其然，在联通发布事件的当天，就有人抓住了联通没有验证手机号合法性的漏洞（现在已经开始验证手机了），做了一个外挂程序，然后使用了他们想要的尽可能多的帮助。 .

结果羊毛党下载了软件，羊毛还没摘下来有叫比特币的电脑病毒吗，反倒挨了一刀！

套路好像是去年WannaCry的翻版，同样的锁定文件加密，同样的敲诈勒索，过了一定时间，不交钱就撕票。 只是支付方式变了——WannaCry用比特币敲诈勒索，而这个是110元的微信支付。 . .

在沙箱中运行的病毒

起初，该病毒的流行名称是“微信勒索病毒”。 其实勒索的支付方式是微信，并不是微信被病毒感染了。 .

不知道是最近比特币价格跌得太厉害，还是小伙子没有加密钱包。 他放弃了专业黑客流行的反侦察手段——加密货币。 .

按理说制造病毒是可以的，但是敲诈用的是实名微信/支付宝？ ！ 差评君真的看不懂这个操作。 . . 反正微信一接到群众举报，立马屏蔽了二维码。

事实证明，病毒制造者可能真的半信半疑。 . 国产安全软件火绒在病毒爆发当晚11时30分发布了病毒分析结果，仅7小时后就发布了破解病毒的工具。 360安全也同时发布了解密工具。

据安全专家分析，该病毒存在已久，但每天只感染几台电脑，并未引起大家的重视。 .

直到病毒制造者想到了一个表演操作。 .

上个月15号，他在一个专门学习彝语的网站“精益论坛”上分享了一款软件~（彝语是唯一使用汉字作为程序代码的编程语言）

该资源已被管理员禁止

喜欢摆弄各种小玩意儿的程序员把它下载到电脑上，病毒就开始悄悄地工作了。

病毒一方面不断将宿主机上的数据传回给病毒制作者，另一方面搜索计算机上是否有易语言编程环境。 如果是这样，病毒会立即感染易语言的核心静态库和精易模块（一种让易语言编程变得更傻的编程模块），这样整个编程环境编译出来的程序就会带有病毒。

Jingyi模块中插入恶意代码

而且由于易语言的语言特性，很容易被杀毒软件误报，所以大部分开发易语言的程序员都不会安装杀毒软件，一旦被杀也很难被发现被病毒感染。

虽然大部分学过编程的人都不太了解Easy Language，因为很少有公司使用，但是在国内的插件领域，Easy Language还是很受欢迎的。

文章开头出现的联通扫羊毛作弊是通过感染病毒的易语言环境制作的。 庞大的羊毛大军，感染病毒的电脑迅速涌动，势不可挡。 .

可能是病毒制作者太天真了，总想搞个大新闻。 . 眼看中毒电脑激增，窃取数据似乎没什么用，于是灵机一动，决定向前辈WannaCry学习，赚点零用钱。

结果技术不行，加密弱，支付方式幼稚，分分钟被各大安全公司按在地上蹭。 .

而且，火绒团队跟踪病毒中的信息，通过各种线索确认，确定了病毒制作者的github网址和详细到不能再详细的个人信息。 .

没想到，病毒的创造者罗先生是1995年后出生的。

顺着线索，火绒团队也破解了他名下的两台服务器的后台。 里面详细记录了病毒爬取的数据。 由于该病毒嵌入了木马程序，感染该病毒的电脑拥有天猫、支付宝、微信等多种账号。 密码被盗。

此外，它还记录了主机的详细硬件信息。 莫非是想搞大数据分析，根据条件割韭菜？

病毒返回的数据类型

由于灰产软件在相关开发者之间的高流通和供应链污染的传播，潜在感染用户较多。 而且病毒作者通过“云控”来决定是否勒索，即没有微信勒索不代表没有病毒。 .

所以，如果你下载过以下或者类似的软件，还是用杀毒软件杀一遍比较好~

差评者在查看病毒作者的Github时发现，已经有十几个人fork了病毒的二进制组件，不排除有人想二次传播病毒的可能。 .

至此，国内勒索事件告一段落，国内安全团队也将查获的相关信息移交给了警方。

今天晚上有叫比特币的电脑病毒吗，差评人又看了一眼罗同学的Github，发现他在今天下午5:00将文件中所有病毒相关文件的内容全部改成了下面这句话：

我猜他知道天网回来了

可惜，这次你恐怕不能轻易离开了。