12月1日前后，一款通过微信支付赎金的新型勒索病毒在国内快速传播。有网络安全公司统计，截至4日晚，至少有10万台电脑遭到感染。据悉，该病毒不仅会加密受害者的电脑文件，还会窃取用户支付宝、QQ等账号密码。

最新消息，由于下发指令的页面已被删除，这款病毒未进一步扩散。目前已有多家网络安全公司表示成功破解了该勒索病毒，并且追踪发现始作俑者竟是一名95后罗姓男子。

花几小时找到勒索病毒作者

360互联网安全中心安全研究员王亮告诉隐私护卫队，勒索病毒作者在病毒代码里面留下了一些能关联到身份的信息，比如病毒中内嵌的GitHub的链接中有他的QQ号码，使用的SQL服务器登录口令也包含了作者的姓名简写和生日等。

“再结合网络留下的信息能够相互印证，也就定位到了具体的作者。整个过程并不复杂，几个小时就完成了。”据王亮介绍，在掌握这些线索之后，他们已经将相关信息提交给警方和主管部门了。

据隐私护卫队了解，目前勒索病毒作者姓名、电话号码、邮箱、百度云账号、生日等信息均可知。4日晚，微博网友“雕哥创始人”晒出的两张与勒索病毒作者的聊天截图显示，对于别人知道他真名和QQ号，今年22岁的罗某表示意外，并称“打LOL中，再见。”

图自微博网友“雕哥创始人”。

另据火绒安全团队介绍，他们通过逆向分析病毒的下发指令，成功解密出其中2台病毒服务器后，发现大量被窃取的用户个人信息，包括淘宝、支付宝等账户密码两万余条。

火绒安全团队统计的被盗取的登录信息数据。

王亮对隐私护卫队表示，12月4日，该勒索病毒的控制指令关闭之后，感染计算机数量没有进一步增加了，但是已感染的计算机还有不少没有查杀病毒，并且感染源也仍然存在。

建议感染病毒用户尽快修改支付宝等密码

12月5日，国家互联网应急中心发布通报介绍，该病毒采用“供应链感染”方式进行传播，病毒制作者利用GitHub、CSDN、豆瓣、简书、QQ空间等网站页面作为下发指令的C&C服务器，加密受害者文件并勒索赎金，同时窃取支付宝等软件密码。

国家互联网应急中心发布的通报。

根据网络安全专家追踪发现，勒索病毒传播源是一款易语言的开发模块。王亮告诉隐私护卫队，这款病毒通过感染易语言开发者环境，进而感染了很多易语言程序，然后通过它们进行传播。被感染的易语言程序中，很大比例是“辅助外挂”类程序。

360安全卫士官方微博发布的文章指出，目前证实，有大量的外挂工具、刷量软件、打码软件、私服等第三方开发的应用程序已经中招，这些工具多为网络灰色产业从业人群使用。因为他们经常无视杀毒软件的拦截提示，所以容易受到这款勒索病毒感染。

国家互联网应急中心提醒广大用户，安装并及时更新杀毒软件，不要轻易打开来源不明的软件，如已经感染勒索病毒，可使用相关解密工具尝试解密。目前，许多公司已经针对该勒索病毒开发了解密工具，包括火绒Bcrypt专用解密工具、腾讯电脑管家“文档守护者”、360安全卫士“360解密大师”等。

对于已感染勒索病毒的用户，国家互联网应急中心建议用户在清除病毒后，尽快修改淘宝、天猫、支付宝、QQ等敏感平台的密码，同时养成定期在不同的存储介质上备份计算机中的重要文件的习惯。

律师：制作和传播勒索病毒构成犯罪

不同于以往通过比特币勒索的方式，用户不幸感染这款病毒后，需要扫二维码微信支付110元赎金，才能获取解密密钥。

勒索病毒作者要求支付赎金页面。

国家互联网应急中心的通报指出，这是国内首次出现要求使用微信支付的勒索病毒。隐私护卫队从腾讯方面了解到，涉及勒索收款的账户已于12月2日晚被列入异常名单遭到封禁、收款二维码予以紧急冻结。

北京市京师律师事务所律师王琮玮告诉隐私护卫队，勒索病毒作者要求受害者支付110元赎金，由于涉案数额较少，或不构成敲诈勒索罪，但制作和传播病毒行为可以单独构成犯罪，涉嫌非法提供侵入和控制计算机信息系统罪、非法获取计算机信息系统罪、破坏计算机信息系统罪等。

根据刑法第286条规定，故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。