360提醒易语言开发者重视编译环境，你们已被”微信支付”勒索病毒盯上

【时间线】还是太年轻，“微信支付”勒索病毒与易语言开发者的无奈躺枪

导语：UNNAMED1989”微信支付”勒索病毒尘埃尚未散尽，虽然早在12月2日360安全卫士已经率先发布解密工具，支持unnamed1989勒索病毒解密，并于12月4日支持对该病毒感染的易语言开发环境的查杀，但通过360安全大脑的勒索病毒追溯分析，解析勒索病毒源头以及下发方式，我们还是希望提醒广大用户，尤其是易语言开发环境下的开发者和用户，对于各种论坛传播的“外挂源码”谨慎下载，因为这些所谓的正常源码，很有可能就是本次“微信支付”勒索病毒的“疫源”。

我们有必要看到，本次”微信支付”勒索病毒作者具备熟练PC端和移动端的开发经验，并且掌握了多个编程语言，同时“铺量手法娴熟”，预埋的时间线很长，这也是能在短时间内迅速感染大批用户的一个原因，但令人尴尬的是其采用的微信支付勒索的方式，正如病毒作者本人在豆瓣日记所示，还是年轻了，事情闹大了，再删去豆瓣日记上的加密字符串，360安全大脑表示，及时截图是个好习惯。

潜伏时间长,早早盯上易语言编译环境

2017年4月，”微信支付”勒索病毒就开始尝试通过论坛传播“正常源码+带毒模块”，这些界面友好，亲切nice的offer，给与广大开发者以极大诱惑。尤其是对易语言开发环境的开发者来说，各种福音，多多益善的诱惑下难免放松了警惕。

坊间经常流传刷量、外挂、打码、私服等一些较为灰色的软件所声称的“杀毒软件误报论”。360安全大脑提示您，360安全卫士不会针对任何特定类型的程序进行“误报”。假如开发者当时用360安全卫士查杀一下下载的程序，这个事件就此可以终结。

12个月后，在2018年4月，”微信支付”勒索病毒作者开始尝试投递带毒工程项目，当时使用的还是GitHub来存储控制信息，

演出开始了，360安全大脑提示您对任何“分享”持谨慎态度

到了2018年下半年， 开始使用豆瓣日记分发控制指令。通过豆瓣日记可以看到，2018年9月30开始进行调试

从2018年10月开始，”微信支付”勒索病毒通过论坛以“分享源代码”的方式开始尝试传播

2018年11月13日，作者开始在论坛散布带有恶意代码的所谓“恶搞代码”，这次是本次感染用户计算机的恶意代码首次对外公开传播。当天，就有易语言的开发者中招。

11月15日，作者在易语言开发者论坛进一步传播，第一款被感染的应用开始在互联网中传播。

到11月19日，超过20款应用被篡改，恶意程序开始在互联网大肆传播。

虽然在11月底，恶意模块被举报，论坛管理员发现问题，并删除了传播源，但此后，恶意模块已经开始泛滥并持续传播。

持续发酵时间线

11.30日，“微信支付”勒索病毒的作者，开始下发”Unnamed勒索”软件；

12.1日，360安全卫士发布安全预警，提醒用户及时查杀木马；

12.2日，360安全卫士率先发布解密工具，支持Unnamed1989勒索病毒解密；

12.3日，360安全卫士发布勒索病毒追溯分析，解析勒索病毒源头以及下发方式，提醒广大用户注意；

12.4日，360支持对该病毒感染的易语言开发环境的查杀。