勒索病毒和96后白羊座黑客的背后故事

图为病毒作者被捕照片

有些事从开始就注定了结局，年仅22岁的罗生（化名）可能没想到这一天来的这么快，刺激、兴奋、担忧、害怕、恐惧、麻木、坦然，仅仅5天这个年轻人可谓体会了一把“人生巅峰”。

他出于什么目的开发的病毒？

为什么他选择微信支付来作为勒索收款？

真如安全专家所述“入门小学生级”的病毒？

勒索了多少钱，有多少人因此支付索金？

图为12月4号跟病毒作者的QQ聊天记录

图为12月4号跟病毒作者的QQ聊天记录

“平安东莞：获悉省厅网警总队下发线索后，东莞网警快速反应，立即启动网络安全事件应急处置预案，调集骨干警力，对涉案线索开展排查，于12月4日22时准确摸排出嫌疑人真实身份为罗某某（男，22岁，广东茂名人），其主要在我市东坑镇活动。12月5日凌晨，东莞网警联合东坑分局连夜展开抓捕行动，经十小时连续奋战，于15时将嫌疑人罗某某抓获。

——这可能是第一个也可能是最后一个，在他被捕之前的对话。

我实在过于好奇，到底罗生是怎么样一个人，从如何学会的开发病毒，到敢正大光明的用实名微信支付作为勒索收款，然后又堂而皇之的在论坛大肆传播病毒（论坛名就是自己的QQ号）。

当他当知道自己出名了（被媒体报道），开发的病毒也被破解了，个人隐私信息被公之于众了，他该如何面对这一切？在12月4日23点寒冷的夜晚，我只等到轻飘飘的一句话：“打lol中，再见”。

同作为90后的程序员，这种种离奇现象和小说般跌宕起伏的故事，促使我想要了解真相。

微信支付勒索病毒引发关注

图为勒索病毒界面

时间回到12月月初，由火绒安全发出的一则通告在微博备受关注“国内首款勒索病毒要求微信支付”，这一事件经过微博的连续多天爆料，多篇技术文章介绍，短短1、2天，安全领域的专家就将病毒破解，并把病毒的运作原理和开发者的详细个人资料被公之于众，引发大量网友参与讨论和关注。

图为大量新闻标题

其实每天都有成千上万的病毒诞生，按常理来看一个病毒不该如此备受关注，可谁也没想到，病毒居然贴上了微信支付二维码用于勒索，而微信是家喻户晓，大家最常用的软件，而勒索病毒跟微信支付扯上关系以后，普通人对此不了解，再加以某些媒体的标题误导，大伙还以为是微信支付出了问题，因此引发大量网友关注。

图为豆瓣网传播中间页

通过分析病毒本身原理得知，主要利用了豆瓣网进行中介传播，其作恶方式不仅对用户电脑资料加密勒索钱财，还盗取电脑存储的淘宝、支付宝、百度云网盘账号密码，这样一来，牵扯到了微信、支付宝、豆瓣、百度，四大互联网公司，一个小病毒也能掀起大风浪，导致人心惶惶。

与此同时，国内的其他安全厂商也不甘示弱：腾讯安全、360安全等，纷纷发出通告文章，宣称可查杀此类病毒，推出专项反勒索工具，而腾讯更是出手迅速，毕竟QQ、微信都被人公之于众了，可谓是完全掌握用户的一手资料，再配合自家地区的警方抓捕勒索病毒作者，24小时成功破案。

安全厂商卖弄文笔借势营销

由于该病毒的原理很简单，且病毒本身也没有任何加密防护的手段，相比较同为勒索支付病毒，并且全球闻名的“永恒之蓝”病毒可就差的太远了，但即便如此，在网络安全领域，谁第一个发现，第一个解决，在行业内的声望和知名度自然不言而喻，火绒安全虽然是率先发布并公告信息，但不代表其他同行能愿意让他独享光环。

图为火绒安全CEO微博评论

“瑞星安全：为什么被称为“小学生”式勒索病毒？瑞星安全专家通过对其分析发现，该勒索病毒由易语言编写，易语言是一门以中文作为程序代码的编程语言，属于初级入门级语言，从这一点就可以看出勒索病毒作者代码水平还比较初级。

瑞星安全专家语出惊人，称该病毒为“小学生”式勒索病毒，且该病毒只排2颗星，危害较小。

“瑞星安全：病毒编写——初级。该勒索病毒由易语言编写，易语言是一门以中文作为程序代码的编程语言，属于初级入门级语言，从这一点就可以看出勒索病毒作者代码水平还比较初级。

图为瑞星专家给出的病毒等级分类

瑞星安全专家更是直接点评“易语言”为：初级入门语言，用这个语言写的代码水平比较初级。

“360安全&浅黑科技：从只有中国人才用的“小霸王学习机”易语言，到中国特色的薅羊毛软件，到通过豆瓣和QQ空间进行病毒投放，到微信支付收勒索款，再到这个22岁的青年所思考的一切。

无独有偶，在360安全专家王亮和浅黑科技史中的眼里，易语言定性为只有中国人才用的“小霸王学习机”。

易语言被评“不入流”语言

“W3Cschool：学生、工人、教师及更行业的人，使用易语言编写软件，来解决一些问题，不具有通用性，通常只能在小范围传播，不会再网上推广，用户也很少。而黑灰产业需要通过网络传播赚钱，传播范围广、用户多，影响大。所以大家也眼里通常会只有黑灰产业。对于“易语言”这个不入流的语言，你是怎么看的呢？

W3Cschool更是评易语言为：不入流的语言，且称哪怕让这些下岗工人、学生、老师这些行业的人学会了编程，写出的软件也没什么用。

先批量报毒，再单独处理误报

一个编程语言，按理说不该背这锅，可为什么大家提到它就言辞轻蔑，各种歧视接踵而来，我们的关注点不应该放在非法分子，勒索病毒，受害者等身上吗？

“易语言作者：目前杀毒软件基本上都采用“特征码”查毒技术，就是从病毒体中寻找一段“特征”数据，以后凡是看到其它文件具有这个“特征”，就认为是病毒。这种技术有着其天生的弊端：就是很难保证“特征码”的准确性和唯一性，如果正常的文件里面也碰巧有这种特征码，就会产生误报。对于易语言来说，这个弊端尤为突出。由于易语言功能强大，经常有一些不负责的用户使用它来写木马或者病毒，而杀软在这些文件里面采集特征码的时候，却采集到了易语言编译器本身所产生的正常代码上，这样就导致一产生误报，所有正常的易语言软件就会被误报！

国内几大知名安全厂商，如果说在商业上，那一定是死敌，各看各不顺眼，但是唯独对待易语言的态度却是难得的十分统一，仿佛提前商量好一般：先不管是什么程序，如果是易语言写的直接报毒。

图为360专门为易语言设立的误报反馈页面

而对用户来说，一开始，从网上下载的软件虽然被杀毒软件提示有风险，软件用不了肯定很紧张，赶紧问问周边的朋友是什么情况，然后得知，“没事，易语言写的，被误报很正常嘛”。

仍心情忐忑的点了忽略风险提醒以后，使用一阵子，发现没出什么问题嘛，当下次在遇到类似情况，一次、两次，长期以往，用户就产生了见怪不怪，对待软件报毒的懈怠。

则有了如今依靠易语言编写出来的勒索病毒的滋生环境，起初用户还以为是正常误报，可没过一会电脑被锁屏，提示需要微信支付才能解锁，这一来用户就彻底慌了，求助杀毒厂商，这才有了后来的事情。

原来，某些知名安全厂商被吹上神坛的反病毒引擎、杀毒软件，连所谓的病毒原理也无法分析清楚，以至于在未知的情况下仅能依靠概率来判断，软件与病毒的区别，甚至直接大手一挥，把某个编程语言开发的软件通通纳入病毒行列，反正是不是病毒，我告诉你有风险了，你不相信我，也不能怪我。

这次可以说是用户的不小心，下载来历不明的软件，忽略了风险提醒，那下次用户再面临网上下载的软件，是不是该继续赌运气，赌它是不是病毒误报呢？

国产编程，不是你们的垫脚石

同作为一门编程语言，C语言、.NET、 JAVA 、PHP，就不能开发病毒了吗？如今互联网时代，每天都会有新的电脑病毒、手机病毒、网页病毒的诞生，但为什么这些所谓安全专家从不去点评其他编程语言？

其实道理他们都懂的，开发的软件也好，病毒也好，压根不是编程语言的错，就好像谁用水果刀行凶犯法，你能去找超市理论，凭什么卖刀给他？

“但没办法呀，病毒是别家公司先破解的，技术文章道理都被他们写完了，我们总不能在后面跟风鼓掌吧，这不是助长他人威风嘛，只好踩一踩，骂一骂这个易语言，谁让你那么简单，还全中文编程，什么阿猫阿狗都能学，这么容易被人学了就能开发软件做病毒，不是给我们添乱嘛？

易语言只是一个小公司开发的产品，没什么背景和后台，很多从事易语言的开发者一直也默认了行业内误报的“潜规则”，甚至互相劝解告慰，蚂蚁斗不过大象，还是想办法怎么样多和客户解释误报吧。

我不想看着一门国产编程语言，成为某些公司用低劣的手段来博取用户口碑的垫脚石，如果说今天的易语言换成腾讯的小程序，安全领域的某些专家还敢这么言不着调的评论吗？

编程语言就是一门工具，如果因为一门语言的学习门槛低，低到坏人可以学习他拿来做坏事，反过来苛责一门编程语言，那倒不如干脆把互联网封闭，把百度关停，因为坏人利用互联网搜索学习资料更快更便捷。

End.

一场华丽的闹剧，表演者还没来得及开始就已经宣告结束，黄牛们措手不及只好迁怒于舞台和剧场，丑态百出的事故现场，不妨碍围观群众看了一出“好戏”，而主办方则躲在角落里默默的流眼泪，全给别人做嫁衣。

本文授权产品壹佰独家原创，转载保留出处。