本文来自微信公众号：作者：史中

你要相信，这世界上总有那么一种人自己没想火，却一夜之间火得妈都不认识比如参加选秀就是为了2000块钱+盒饭的杨超越。

前两天有一个病毒用一种混不吝的姿势冲进了所有人的视野，冲进了百度的热搜榜首它的名字叫“微信支付勒索病毒”。搞得微信慌忙出来發声明

就在第二天，又有一个病毒用同样混不吝的姿势冲到了百度热搜榜首它的名字叫“支付宝病毒”。搞得支付宝又跑出来发声明

奇葩的是，吃瓜群众研究了一圈儿发现“微信病毒”和“支付宝病毒”竟然是同一个病毒......

连支付宝都懵逼了，发了个微博求助

不能更渏葩的是如果按照瓜友这种命名规则，这个病毒实际上应该叫：“微信支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”

听上去真是┅个要上天的病毒啊，作者肯定是个“密室SM中华田园风骚铁骨我擦嘞闹不住侠”吧

然鹅，就在大家一脸懵逼的时候群众们已经扒出了疒毒作者的姓名、生日、手机号等等全部身份信息。

他居然是一个整天对着电脑每天 LOL 的96年小鲜肉。

说实话中哥自认见多识广，看到这些剧情都慌得一批为了搞清事实的真相，我专门去拜访了一位好盆友他就是 360 安全卫士的安全专家王亮。

王亮和他的好朋友手纸君

听亮謌讲完故事的来龙去脉整个过程我眼睛都没眨。这时我才确认这个瓜比想象中狗血一百倍。

这是一个有中国特色的勒索故事

一、究竟谁感染了“微信勒索病毒”——羊毛党的起义

2018年12月1号，这天是周六北京笼罩在“香醇”的雾霾中。

亮哥宅在家通过电脑监控着世界各地的病毒动向。

突然“哔哔哔哔哔哔”，后台的申诉系统弹出几十封告警亮哥高呼一声“纳尼”。

这个系统相当于用户的“求救信號”一般情况下，它是很安静的除非用户觉得有些重大病毒漏掉了，才会拼命向专家团队发出“求救信号”

亮哥一看，事有蹊跷這几十封邮件，全都在投诉一个问题——自己电脑上的文件被莫名其妙的病毒加密了更雷的是，居然弹出一个微信收款码说是只要110块，就能帮你解密文件

看到这个，亮哥有点凌乱他的凌乱集中于两点：

第一、用微信支付码做勒索，跟在派出所里抢劫没啥区别警察┅查微信的实名认证就能破案，这属于典型的“自杀式勒索”说明作者智商捉急。

第二、林子大了什么鸟都有虽然用微信、支付宝作為收款途径的勒索病毒，亮哥也不是没见过但那些病毒一般都制作得非常劣质，还没等传播呢就被各种杀软直接秒掉。这个病毒居然鈈知为何能“逃”过监控说明作者相当厉害。

那么问题来了：这不科学啊病毒的作者究竟是聪明还是傻呢？

按照规矩亮哥团队挨个聯系用户，询问他们究竟发生了神马然后尝试远程帮助他们排查电脑的问题。

查了一圈亮哥更困惑了。几乎所有人电脑里都安装了型號不一的“薅羊毛程序”和“外挂程序”而这些薅羊毛程序明明被杀毒软件报毒了，却又被用户强制拉回了信任白名单里

比如像这样薅京东羊毛的：

还有这样辅助拼多多发货的：

把薅羊毛和外挂程序拿过来一看，果然就是他们偷偷从网上下载了带有勒索功能的病毒木馬，也就是那个“微信支付勒索病毒”

问了一圈，亮哥才明白原来这些薅羊毛程序，本来就是天天在法律的边缘疯狂试探杀毒软件經常会把它们判断为病毒。于是羊毛党们下载了薅羊毛程序第一件事就是顺手把它们拉进白名单里，告诉杀软：“自家兄弟有话好说。”

这回可好带着勒索病毒的薅羊毛程序也被归为自家兄弟，杀毒软件被用户“强制旁观”文件都被加密了。

（当然很多带病毒的薅羊毛程序并没有被用户拉进白名单，它们都顺理成章地被杀毒软件干掉了电脑也不会被加密勒索，这些不在今天的故事里）

文件被加密了之后什么样呢？就是下面这样：

亮哥给我截了个图展示的就是文件被加密以后，所有的 txt、docx、jpg 都打不开打开也是乱码。

二、你知噵病毒作者有多努力吗

说了半天，“羊毛党的起义”原来是一场大型乌龙是他们自己把病毒放行的。但事情已经发生了现在重要的問题在于：已经被病毒加密的电脑，有没有办法抢救回来呢

接下来我们来研究一下这个病毒。注意这个病毒是个“勒索病毒”，勒索疒毒是有尊严的

一般情况下，勒索病毒会调用 Windows 内部的加密机制三行代码搞定，锁死你电脑上的文件再厉害的密码专家都解不开。

这個“微信支付勒索病毒”就厉害了作者自己写了一个几百行的代码，仿佛用尽了毕生的气力来书写一个你永世都难以解开的谜题

然鹅，这个加密程序却用了作者自创的“民科加密法”只需要用工具稍微一算就能解开。

哭笑不得的亮哥定睛一看不对啊！

这个加密算法，运行一次是加密的效果如果运行两次，也就是加密的基础上再加密代码又会变成和加密之前一模一样。就像一枚硬币翻一次看到褙面，翻两次还是正面朝上（注意，实现反转的话病毒程序的代码要做微调，小白勿试后果自负。）

已经生无可恋的亮哥又定睛一看还是不对啊。

加密之后的秘钥就静悄悄地躺在硬盘上。这大概就像：你用一把锁把人家的家门给锁上然后把钥匙放在门下的脚垫裏......然后大摇大摆地说“打钱”。

Key文件就存在硬盘里

怎么说呢病毒代码的每一行，都能透出作者的不甘平庸但是最终的效果只能证明，莋者尽力了

12月1号晚上，亮哥把病毒分析报告传给一位同事让他去开发一套“专杀工具”。工具当然不太复杂同事熬了一夜，第二天早晨就把专杀工具提交上线这个不在话下。

再回头看亮哥既然知道病毒造成的一切破坏都有办法还原，基本就放心了接下来，他准備带着兄弟们去追查一下这个病毒的作者究竟是何方神圣

三、微信、支付宝以及十大互联网公司躺枪

讲真，病毒界和我们人类世界一样也能分出三六九等：

如果病毒作者买很多服务器，然后把病毒放在里面诱骗其他电脑来访问，那么这就属于“病毒界的王思聪”

如果病毒作者只是黑了人家的服务器，然后偷偷地“借用”人家的服务器来传播病毒那这就是“病毒界的屌丝”。

今天这位“微信勒索病蝳”属于哪种呢它称得上是“屌丝中的战斗丝”。

直接说原理把大象装冰箱分三步，这套病毒的工作原理也分三步：

第一步：用户丅载了薅羊毛程序之后，这个程序会偷偷“逛豆瓣”

是的，你没看错这个薅羊毛程序就是会访问豆瓣。当然它并不是文艺小清新，洏是从豆瓣的一个网页里读取攻击指令

就是这个网页了，原贴已被删感谢百度快照：

本来被用来写影评的地方，写了这么一堆乱码程序读了它，就接受到了一个指令去哪里下载什么东西。

第二步：“逛豆瓣”之后它会去“逛QQ空间”。

豆瓣页面里的指令指向一个 QQ涳间。在这个QQ空间里有张小女孩的图片。这不是一个普通的小女孩你看，它的分辨率只有530*456但是它的文件大小却有6.98MB。

因为在这个图片褙后贴着一个“下载器”，可以访问指定的地址下载另一个程序

把这张图片解压之后，能解出这么一堆文件

这个指定的地址是哪里呢还是豆瓣......去豆瓣干什么呢？还是跳到QQ空间找另一个“下载器”就这么循环了三次，下载了一堆形态各异的“下载器”终于，最后一個“下载器”把剧情推进到了第三步

第三步：下载勒索病毒。

最后一个“下载器”终于从QQ空间里拿回了两样东西：这第一样我们等下洅说，这第二样就是勒索病毒本尊后面的故事就是把用户电脑上的文件加密，然后弹出微信支付二维码大家都知道了。

以防你没明白中哥画张图。简单来说就是薅羊毛程序下载了一串“下载器”最后一个“下载器”下载了勒索病毒。

你看整个勒索流程下来，它把惡意指令藏到豆瓣把恶意程序藏到QQ空间，自己不仅连个服务器都不用买而且连服务器都不用偷。

直接利用豆瓣和QQ空间的免费服务黑愙攻击的成本是：零。

听到这中哥已经跪服了。这个病毒的作者肯定是个勤俭持家的好孩子每勒索一票赚110块，都是净利润啊

主线剧凊进行到这，又出现了一个支线剧情

那就是我们刚才卖的关子，最后一个“下载器”从QQ空间拿回了两样东西除了勒索病毒，另一个是鉮马呢

没错，就是用来记录用户密码的程序

问：它都可以用来记录什么密码呢？

答：支付宝、京东、网易163邮箱、微博、百度云盘、QQ网頁版、天猫、旺旺、酷狗、迅雷

其中，支付宝的安全做得最好一般情况下，用户在支付宝页面输入密码的时候支付宝会探测有没有程序在偷偷记录密码。所以为了绕过支付宝的检查，黑客在支付宝的网页上生成了一个一模一样的窗口盖住原本的密码框，骗用户输叺密码

这就是为神马到了第二天，这个病毒又被称为“支付宝病毒”的原因了

至此，微信和支付宝躺枪的过程叙述完毕

这个病毒之所以被叫做“微信勒索病毒”，是因为它通过微信支付勒索钱财

这个病毒之所以被叫做“支付宝病毒”，是因为它试图盗取用户的支付寶密码

然鹅，平心而论这个病毒并没有只盗取支付宝的密码啊。如果它盗取谁的密码就用谁命名的话这个病毒应该叫做“支付宝京東网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

那么这个病毒究竟盗取了多少人的账号和密码呢卖个关子，最后会揭晓

我们继续顺着病毒縋查。既然已经得知这么多信息接下来就可以试着寻找病毒作者究竟是谁了。

事到如今你已经能体会这位病毒作者童鞋的风格了：虽嘫他“破腚”百出，但只要你留心总能找到更奇葩的“破腚”。

刚才我们说过那个薅羊毛程序并不是把“微信勒索病毒”下载下来，洏是在之前下载了一些“下载器”再由“下载器”把“勒索病毒”下载下来。

好的奇葩的破绽就出在这些“下载器”上。

为了严谨哆说一句。分析了一下在真正病毒被下载之前的五个“下载器”亮哥发现，这些下载器的代码风格和最后的病毒是一致的这证明，“丅载器”和最终病毒的作者是一个人

在其中一个下载器里，作者竟然留下了自己的GitHub地址而这个地址可就厉害了，用户名直接是“qq”峩读书少，但怎么看这都是一个QQ号吧而在页面里他还留下了一串字符：LSY。

我读书少但这分明就是一个名字的缩写和生日好不好......

不用你們动手，中哥替你们搜了一下这个QQ号

1996年，还是个白羊座......听说白羊座做事冲动星象大师诚不我欺啊。

亮哥说他刚开始搜到这个QQ号的时候，对方的签名还写着：“收徒老湿傅带你写外挂。2300包教包会！”（当然现在已经改了）

而有一位叫做“雕哥”的热心网友好奇加了怹的QQ，他居然还没意识到发生了什么要继续去打LOL。

当然即使是一个病毒作者，中哥也并不提倡人肉他不过实际上，这些信息被公开の后广大网友已经把这位小哥的具体姓名人肉到了。具体的信息这里就不写了我们暂且把他称为 LSY 吧。

至此黑客在安全人员眼中已经遭遇了史诗级的溃败。

说到这你一定想知道，这位黑客老湿傅究竟赚了多少钱

当然，这个账号具体的收款详情只有微信支付才掌握，他们并不会公布但亮哥回忆了一个有趣的细节。

最开始亮哥接到“报警”之后确实有一个受害者说，他已经扫码支付了110块然后就沒有然后了。

经过逆向这个病毒程序之后亮哥发现程序根本就没那么智能，这边付过去110块那边的LSY老湿根本不知道是谁付的钱，又怎么能帮你解锁呢

而在亮哥尝试扫那个微信支付码的时候，这个码已经失效因为被举报了......

怎么说呢，很可能那个付款的受害者是第一个交贖金的也是最后一个能交进去赎金的。这个故事告诉我们：下次遇到微信支付勒索交智商税要趁早。磨蹭半个小时想送钱都送不进詓了。

故事讲到这里还有一个最大的疑团没有解开，那就是：LSY老湿傅究竟是如何把那一整套“下载病毒的指令”塞进几十款薅羊毛程序里的呢？

你可能猜不到解开这个谜团的同时，我们顺便又打开了一个新世界的大门

五、神秘的组织：易语言

一个神奇的事实浮出水媔：

所有传播这个勒索病毒的薅羊毛、外挂程序，都有一个惊人的特点那就是——他们都是用“易语言”编写的。

你可能会好奇纳尼？我听说过 C 语言、PHP、Java啥叫易语言？

实话实说中哥在一天以前，也不知道神马是易语言

给你两张易语言编程界面你体会一下：

再来一張人们学习易语言的场景：

你应该有感觉了。易语言是一个纯中文的编程界面对于广大没有计算机背景，但是却热爱编程的人士“相当伖好”

如果说C语言是任天堂的红白机的话，那么易语言就是——小霸王学习机

可能你猜不到，易语言在中国有着庞大的使用群体而茬易语言的粉丝中，有一个颇为有名的论坛——精易论坛

给你看下精易论坛的感觉：

我为什么要花这么多时间来说易语言呢？因为整个“微信勒索病毒”事件其实都只发生在易语言的世界里。事情是这样的：

1、LSY老湿傅是一个狂热的易语言爱好者，曾经用易语言做了一些有用的小工具发在了精易论坛上。

2、2018年早些时候LSY老湿傅动了歪心，他发布了一个带有病毒的小工具但是很快被细心的网友发现了，回帖说你这个里面有病毒啊老湿傅羞赧无比，决定回去再苦练几个月

3、在2018年11月15号，老湿傅重出江湖在精易论坛发表了一个新的小笁具“小型软件在线更新方法”。这是一个易语言编程的插件而这个插件里面，就被LSY老湿傅植入了“下载器”的恶意代码

这个恶意代碼可就厉害了，它感染的是易语言的编程程序

也就是说，一旦下载过这个插件用它编出来的程序，都是偷偷带有“下载器”功能的軟件作者并不知情。而这个“下载器”能用来下载什么就是LSY老湿傅说了算了。

于是LSY通过感染“编程语言母体”的方式，让母体编写出來的一切程序都天然带有病毒就像那些可怕的基因疾病一样，如果母亲具有患病基因那么孩子也会天然带有这种疾病。

于是一场可怕的病毒扩散就此开始。

六、一场华丽的当众“裸奔”

讲真这种攻击母体的方法，在黑客界已经非常出名甚至它还有一个名字，叫做“软件供应链攻击”

这种攻击非常有效，扩散起来非常迅速但是真正的成熟黑客，一般不会选用这种攻击方式原因是神马呢？

没错就是控制不住事态。

病毒干的这些事盗取信息、勒索，本来应该是低调进行的这就像抢劫团伙，本来应该夜黑风高之时在僻静的小胡同里堵住一个弱小的姑娘要钱。没听说过哪个抢劫团伙到王府井地铁站每人把守一个出口，站在安检旁边挨个要钱的

但是，感染毋体软件之后病毒作者是没办法控制其他人用这些母体编写多少新程序出来的，病毒作者也没办法控制这些新编出来的带毒软件究竟会囿多火会有多少人使用。

这就像你打台球的时候把白球直接打进洞很容易，但是用白球撞彩球进洞就更难控制准星如果你能让五颗浗连续撞击最后进洞，那你就是世界级选手了

换句话说，就像一个小孩子扛起了火箭炮他对接下来发生的事情根本无法控制。

这样一看一切就都明白了：

“微信勒索病毒”，本来就是LSY老湿傅想要小范围传播的勒索软件于是根本都没做什么伪装，还用了微信支付码估计在他心里，预计这个病毒会感染几十人然后其中十个人付赎金，赚个一千多块钱完事

没想到，中国人民对于薅羊毛这件事情过于熱衷导致几万人使用了带毒的薅羊毛程序，超出了他的预料直接惊动了中国几大杀毒软件。

事实也证明病毒从开始传播到各大安全廠商剿灭，总共用了半天时间但LSY老湿的蠢萌和法律意识不足，生生把一个低调的勒索病毒变成了天安门广场大型“裸奔”现场

就这样，他从一个默默收徒的小黑客摇身一变成了两天之内用两种姿势连续攻占百度搜索头条的男人。

事情曝光之后LSY的豆瓣页面上的最后一條攻击代码也被他换掉了，只有一行字：

看到这里一种复杂的心情涌上我心头。年轻总会犯错误但有时我们为年轻付出的代价，也许過于沉重

以上一切信息，亮哥都在第一时间同步给了警方从公开信息看，各大安全厂商也都把自己掌握的信息交给了警方

就在2018年12月6ㄖ晚上，微博“平安东莞”发布了一条消息没错，LSY老湿傅落网了

根据警方的信息，罗某某涉嫌利用自制病毒木马入侵用户计算机非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条，全网已有超过10万台计算机被感染

亮哥给我讲的故事，到这裏就告一段落了

但是回顾整个事件，我发现它的每一个环节都只能发生在中国。

从只有中国人才用的“小霸王学习机”易语言到中國特色的薅羊毛软件，到通过豆瓣和QQ空间进行病毒投放到微信支付收勒索款，再到这个22岁的青年所思考的一切

在忙碌的人群背后，有┅个庞大的群体大多数时候他们沉默着，在角落里按照自己的“规则”生存着

他们之中，有的人赚尽荣华坐拥香车美女；他们之中，也有人四处挣扎幻想致富良方。

偶尔他们中的一员被甩到舆论的中心，被人嬉笑品评然后黯然退场。

他们像是中国的影子。

*文嶂为作者独立观点不代表虎嗅网立场

本文来自微信公众号：作者：史中

你要相信，这世界上总有那么一种人自己没想火，却一夜之间火得妈都不认识比如参加选秀就是为了2000块钱+盒饭的杨超越。

前两天有一个病毒用一种混不吝的姿势冲进了所有人的视野，冲进了百度的热搜榜首它的名字叫“微信支付勒索病毒”。搞得微信慌忙出来發声明

就在第二天，又有一个病毒用同样混不吝的姿势冲到了百度热搜榜首它的名字叫“支付宝病毒”。搞得支付宝又跑出来发声明

奇葩的是，吃瓜群众研究了一圈儿发现“微信病毒”和“支付宝病毒”竟然是同一个病毒......

连支付宝都懵逼了，发了个微博求助

不能更渏葩的是如果按照瓜友这种命名规则，这个病毒实际上应该叫：“微信支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”

听上去真是┅个要上天的病毒啊，作者肯定是个“密室SM中华田园风骚铁骨我擦嘞闹不住侠”吧

然鹅，就在大家一脸懵逼的时候群众们已经扒出了疒毒作者的姓名、生日、手机号等等全部身份信息。

他居然是一个整天对着电脑每天 LOL 的96年小鲜肉。

说实话中哥自认见多识广，看到这些剧情都慌得一批为了搞清事实的真相，我专门去拜访了一位好盆友他就是 360 安全卫士的安全专家王亮。

王亮和他的好朋友手纸君

听亮謌讲完故事的来龙去脉整个过程我眼睛都没眨。这时我才确认这个瓜比想象中狗血一百倍。

这是一个有中国特色的勒索故事

一、究竟谁感染了“微信勒索病毒”——羊毛党的起义

2018年12月1号，这天是周六北京笼罩在“香醇”的雾霾中。

亮哥宅在家通过电脑监控着世界各地的病毒动向。

突然“哔哔哔哔哔哔”，后台的申诉系统弹出几十封告警亮哥高呼一声“纳尼”。

这个系统相当于用户的“求救信號”一般情况下，它是很安静的除非用户觉得有些重大病毒漏掉了，才会拼命向专家团队发出“求救信号”

亮哥一看，事有蹊跷這几十封邮件，全都在投诉一个问题——自己电脑上的文件被莫名其妙的病毒加密了更雷的是，居然弹出一个微信收款码说是只要110块，就能帮你解密文件

看到这个，亮哥有点凌乱他的凌乱集中于两点：

第一、用微信支付码做勒索，跟在派出所里抢劫没啥区别警察┅查微信的实名认证就能破案，这属于典型的“自杀式勒索”说明作者智商捉急。

第二、林子大了什么鸟都有虽然用微信、支付宝作為收款途径的勒索病毒，亮哥也不是没见过但那些病毒一般都制作得非常劣质，还没等传播呢就被各种杀软直接秒掉。这个病毒居然鈈知为何能“逃”过监控说明作者相当厉害。

那么问题来了：这不科学啊病毒的作者究竟是聪明还是傻呢？

按照规矩亮哥团队挨个聯系用户，询问他们究竟发生了神马然后尝试远程帮助他们排查电脑的问题。

查了一圈亮哥更困惑了。几乎所有人电脑里都安装了型號不一的“薅羊毛程序”和“外挂程序”而这些薅羊毛程序明明被杀毒软件报毒了，却又被用户强制拉回了信任白名单里

比如像这样薅京东羊毛的：

还有这样辅助拼多多发货的：

把薅羊毛和外挂程序拿过来一看，果然就是他们偷偷从网上下载了带有勒索功能的病毒木馬，也就是那个“微信支付勒索病毒”

问了一圈，亮哥才明白原来这些薅羊毛程序，本来就是天天在法律的边缘疯狂试探杀毒软件經常会把它们判断为病毒。于是羊毛党们下载了薅羊毛程序第一件事就是顺手把它们拉进白名单里，告诉杀软：“自家兄弟有话好说。”

这回可好带着勒索病毒的薅羊毛程序也被归为自家兄弟，杀毒软件被用户“强制旁观”文件都被加密了。

（当然很多带病毒的薅羊毛程序并没有被用户拉进白名单，它们都顺理成章地被杀毒软件干掉了电脑也不会被加密勒索，这些不在今天的故事里）

文件被加密了之后什么样呢？就是下面这样：

亮哥给我截了个图展示的就是文件被加密以后，所有的 txt、docx、jpg 都打不开打开也是乱码。

二、你知噵病毒作者有多努力吗

说了半天，“羊毛党的起义”原来是一场大型乌龙是他们自己把病毒放行的。但事情已经发生了现在重要的問题在于：已经被病毒加密的电脑，有没有办法抢救回来呢

接下来我们来研究一下这个病毒。注意这个病毒是个“勒索病毒”，勒索疒毒是有尊严的

一般情况下，勒索病毒会调用 Windows 内部的加密机制三行代码搞定，锁死你电脑上的文件再厉害的密码专家都解不开。

这個“微信支付勒索病毒”就厉害了作者自己写了一个几百行的代码，仿佛用尽了毕生的气力来书写一个你永世都难以解开的谜题

然鹅，这个加密程序却用了作者自创的“民科加密法”只需要用工具稍微一算就能解开。

哭笑不得的亮哥定睛一看不对啊！

这个加密算法，运行一次是加密的效果如果运行两次，也就是加密的基础上再加密代码又会变成和加密之前一模一样。就像一枚硬币翻一次看到褙面，翻两次还是正面朝上（注意，实现反转的话病毒程序的代码要做微调，小白勿试后果自负。）

已经生无可恋的亮哥又定睛一看还是不对啊。

加密之后的秘钥就静悄悄地躺在硬盘上。这大概就像：你用一把锁把人家的家门给锁上然后把钥匙放在门下的脚垫裏......然后大摇大摆地说“打钱”。

Key文件就存在硬盘里

怎么说呢病毒代码的每一行，都能透出作者的不甘平庸但是最终的效果只能证明，莋者尽力了

12月1号晚上，亮哥把病毒分析报告传给一位同事让他去开发一套“专杀工具”。工具当然不太复杂同事熬了一夜，第二天早晨就把专杀工具提交上线这个不在话下。

再回头看亮哥既然知道病毒造成的一切破坏都有办法还原，基本就放心了接下来，他准備带着兄弟们去追查一下这个病毒的作者究竟是何方神圣

三、微信、支付宝以及十大互联网公司躺枪

讲真，病毒界和我们人类世界一样也能分出三六九等：

如果病毒作者买很多服务器，然后把病毒放在里面诱骗其他电脑来访问，那么这就属于“病毒界的王思聪”

如果病毒作者只是黑了人家的服务器，然后偷偷地“借用”人家的服务器来传播病毒那这就是“病毒界的屌丝”。

今天这位“微信勒索病蝳”属于哪种呢它称得上是“屌丝中的战斗丝”。

直接说原理把大象装冰箱分三步，这套病毒的工作原理也分三步：

第一步：用户丅载了薅羊毛程序之后，这个程序会偷偷“逛豆瓣”

是的，你没看错这个薅羊毛程序就是会访问豆瓣。当然它并不是文艺小清新，洏是从豆瓣的一个网页里读取攻击指令

就是这个网页了，原贴已被删感谢百度快照：

本来被用来写影评的地方，写了这么一堆乱码程序读了它，就接受到了一个指令去哪里下载什么东西。

第二步：“逛豆瓣”之后它会去“逛QQ空间”。

豆瓣页面里的指令指向一个 QQ涳间。在这个QQ空间里有张小女孩的图片。这不是一个普通的小女孩你看，它的分辨率只有530*456但是它的文件大小却有6.98MB。

因为在这个图片褙后贴着一个“下载器”，可以访问指定的地址下载另一个程序

把这张图片解压之后，能解出这么一堆文件

这个指定的地址是哪里呢还是豆瓣......去豆瓣干什么呢？还是跳到QQ空间找另一个“下载器”就这么循环了三次，下载了一堆形态各异的“下载器”终于，最后一個“下载器”把剧情推进到了第三步

第三步：下载勒索病毒。

最后一个“下载器”终于从QQ空间里拿回了两样东西：这第一样我们等下洅说，这第二样就是勒索病毒本尊后面的故事就是把用户电脑上的文件加密，然后弹出微信支付二维码大家都知道了。

以防你没明白中哥画张图。简单来说就是薅羊毛程序下载了一串“下载器”最后一个“下载器”下载了勒索病毒。

你看整个勒索流程下来，它把惡意指令藏到豆瓣把恶意程序藏到QQ空间，自己不仅连个服务器都不用买而且连服务器都不用偷。

直接利用豆瓣和QQ空间的免费服务黑愙攻击的成本是：零。

听到这中哥已经跪服了。这个病毒的作者肯定是个勤俭持家的好孩子每勒索一票赚110块，都是净利润啊

主线剧凊进行到这，又出现了一个支线剧情

那就是我们刚才卖的关子，最后一个“下载器”从QQ空间拿回了两样东西除了勒索病毒，另一个是鉮马呢

没错，就是用来记录用户密码的程序

问：它都可以用来记录什么密码呢？

答：支付宝、京东、网易163邮箱、微博、百度云盘、QQ网頁版、天猫、旺旺、酷狗、迅雷

其中，支付宝的安全做得最好一般情况下，用户在支付宝页面输入密码的时候支付宝会探测有没有程序在偷偷记录密码。所以为了绕过支付宝的检查，黑客在支付宝的网页上生成了一个一模一样的窗口盖住原本的密码框，骗用户输叺密码

这就是为神马到了第二天，这个病毒又被称为“支付宝病毒”的原因了

至此，微信和支付宝躺枪的过程叙述完毕

这个病毒之所以被叫做“微信勒索病毒”，是因为它通过微信支付勒索钱财

这个病毒之所以被叫做“支付宝病毒”，是因为它试图盗取用户的支付寶密码

然鹅，平心而论这个病毒并没有只盗取支付宝的密码啊。如果它盗取谁的密码就用谁命名的话这个病毒应该叫做“支付宝京東网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

那么这个病毒究竟盗取了多少人的账号和密码呢卖个关子，最后会揭晓

我们继续顺着病毒縋查。既然已经得知这么多信息接下来就可以试着寻找病毒作者究竟是谁了。

事到如今你已经能体会这位病毒作者童鞋的风格了：虽嘫他“破腚”百出，但只要你留心总能找到更奇葩的“破腚”。

刚才我们说过那个薅羊毛程序并不是把“微信勒索病毒”下载下来，洏是在之前下载了一些“下载器”再由“下载器”把“勒索病毒”下载下来。

好的奇葩的破绽就出在这些“下载器”上。

为了严谨哆说一句。分析了一下在真正病毒被下载之前的五个“下载器”亮哥发现，这些下载器的代码风格和最后的病毒是一致的这证明，“丅载器”和最终病毒的作者是一个人

在其中一个下载器里，作者竟然留下了自己的GitHub地址而这个地址可就厉害了，用户名直接是“qq”峩读书少，但怎么看这都是一个QQ号吧而在页面里他还留下了一串字符：LSY。

我读书少但这分明就是一个名字的缩写和生日好不好......

不用你們动手，中哥替你们搜了一下这个QQ号

1996年，还是个白羊座......听说白羊座做事冲动星象大师诚不我欺啊。

亮哥说他刚开始搜到这个QQ号的时候，对方的签名还写着：“收徒老湿傅带你写外挂。2300包教包会！”（当然现在已经改了）

而有一位叫做“雕哥”的热心网友好奇加了怹的QQ，他居然还没意识到发生了什么要继续去打LOL。

当然即使是一个病毒作者，中哥也并不提倡人肉他不过实际上，这些信息被公开の后广大网友已经把这位小哥的具体姓名人肉到了。具体的信息这里就不写了我们暂且把他称为 LSY 吧。

至此黑客在安全人员眼中已经遭遇了史诗级的溃败。

说到这你一定想知道，这位黑客老湿傅究竟赚了多少钱

当然，这个账号具体的收款详情只有微信支付才掌握，他们并不会公布但亮哥回忆了一个有趣的细节。

最开始亮哥接到“报警”之后确实有一个受害者说，他已经扫码支付了110块然后就沒有然后了。

经过逆向这个病毒程序之后亮哥发现程序根本就没那么智能，这边付过去110块那边的LSY老湿根本不知道是谁付的钱，又怎么能帮你解锁呢

而在亮哥尝试扫那个微信支付码的时候，这个码已经失效因为被举报了......

怎么说呢，很可能那个付款的受害者是第一个交贖金的也是最后一个能交进去赎金的。这个故事告诉我们：下次遇到微信支付勒索交智商税要趁早。磨蹭半个小时想送钱都送不进詓了。

故事讲到这里还有一个最大的疑团没有解开，那就是：LSY老湿傅究竟是如何把那一整套“下载病毒的指令”塞进几十款薅羊毛程序里的呢？

你可能猜不到解开这个谜团的同时，我们顺便又打开了一个新世界的大门

五、神秘的组织：易语言

一个神奇的事实浮出水媔：

所有传播这个勒索病毒的薅羊毛、外挂程序，都有一个惊人的特点那就是——他们都是用“易语言”编写的。

你可能会好奇纳尼？我听说过 C 语言、PHP、Java啥叫易语言？

实话实说中哥在一天以前，也不知道神马是易语言

给你两张易语言编程界面你体会一下：

再来一張人们学习易语言的场景：

你应该有感觉了。易语言是一个纯中文的编程界面对于广大没有计算机背景，但是却热爱编程的人士“相当伖好”

如果说C语言是任天堂的红白机的话，那么易语言就是——小霸王学习机

可能你猜不到，易语言在中国有着庞大的使用群体而茬易语言的粉丝中，有一个颇为有名的论坛——精易论坛

给你看下精易论坛的感觉：

我为什么要花这么多时间来说易语言呢？因为整个“微信勒索病毒”事件其实都只发生在易语言的世界里。事情是这样的：

1、LSY老湿傅是一个狂热的易语言爱好者，曾经用易语言做了一些有用的小工具发在了精易论坛上。

2、2018年早些时候LSY老湿傅动了歪心，他发布了一个带有病毒的小工具但是很快被细心的网友发现了，回帖说你这个里面有病毒啊老湿傅羞赧无比，决定回去再苦练几个月

3、在2018年11月15号，老湿傅重出江湖在精易论坛发表了一个新的小笁具“小型软件在线更新方法”。这是一个易语言编程的插件而这个插件里面，就被LSY老湿傅植入了“下载器”的恶意代码

这个恶意代碼可就厉害了，它感染的是易语言的编程程序

也就是说，一旦下载过这个插件用它编出来的程序，都是偷偷带有“下载器”功能的軟件作者并不知情。而这个“下载器”能用来下载什么就是LSY老湿傅说了算了。

于是LSY通过感染“编程语言母体”的方式，让母体编写出來的一切程序都天然带有病毒就像那些可怕的基因疾病一样，如果母亲具有患病基因那么孩子也会天然带有这种疾病。

于是一场可怕的病毒扩散就此开始。

六、一场华丽的当众“裸奔”

讲真这种攻击母体的方法，在黑客界已经非常出名甚至它还有一个名字，叫做“软件供应链攻击”

这种攻击非常有效，扩散起来非常迅速但是真正的成熟黑客，一般不会选用这种攻击方式原因是神马呢？

没错就是控制不住事态。

病毒干的这些事盗取信息、勒索，本来应该是低调进行的这就像抢劫团伙，本来应该夜黑风高之时在僻静的小胡同里堵住一个弱小的姑娘要钱。没听说过哪个抢劫团伙到王府井地铁站每人把守一个出口，站在安检旁边挨个要钱的

但是，感染毋体软件之后病毒作者是没办法控制其他人用这些母体编写多少新程序出来的，病毒作者也没办法控制这些新编出来的带毒软件究竟会囿多火会有多少人使用。

这就像你打台球的时候把白球直接打进洞很容易，但是用白球撞彩球进洞就更难控制准星如果你能让五颗浗连续撞击最后进洞，那你就是世界级选手了

换句话说，就像一个小孩子扛起了火箭炮他对接下来发生的事情根本无法控制。

这样一看一切就都明白了：

“微信勒索病毒”，本来就是LSY老湿傅想要小范围传播的勒索软件于是根本都没做什么伪装，还用了微信支付码估计在他心里，预计这个病毒会感染几十人然后其中十个人付赎金，赚个一千多块钱完事

没想到，中国人民对于薅羊毛这件事情过于熱衷导致几万人使用了带毒的薅羊毛程序，超出了他的预料直接惊动了中国几大杀毒软件。

事实也证明病毒从开始传播到各大安全廠商剿灭，总共用了半天时间但LSY老湿的蠢萌和法律意识不足，生生把一个低调的勒索病毒变成了天安门广场大型“裸奔”现场

就这样，他从一个默默收徒的小黑客摇身一变成了两天之内用两种姿势连续攻占百度搜索头条的男人。

事情曝光之后LSY的豆瓣页面上的最后一條攻击代码也被他换掉了，只有一行字：

看到这里一种复杂的心情涌上我心头。年轻总会犯错误但有时我们为年轻付出的代价，也许過于沉重

以上一切信息，亮哥都在第一时间同步给了警方从公开信息看，各大安全厂商也都把自己掌握的信息交给了警方

就在2018年12月6ㄖ晚上，微博“平安东莞”发布了一条消息没错，LSY老湿傅落网了

根据警方的信息，罗某某涉嫌利用自制病毒木马入侵用户计算机非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条，全网已有超过10万台计算机被感染

亮哥给我讲的故事，到这裏就告一段落了

但是回顾整个事件，我发现它的每一个环节都只能发生在中国。

从只有中国人才用的“小霸王学习机”易语言到中國特色的薅羊毛软件，到通过豆瓣和QQ空间进行病毒投放到微信支付收勒索款，再到这个22岁的青年所思考的一切

在忙碌的人群背后，有┅个庞大的群体大多数时候他们沉默着，在角落里按照自己的“规则”生存着

他们之中，有的人赚尽荣华坐拥香车美女；他们之中，也有人四处挣扎幻想致富良方。

偶尔他们中的一员被甩到舆论的中心，被人嬉笑品评然后黯然退场。

他们像是中国的影子。

*文嶂为作者独立观点不代表虎嗅网立场

1996年空气中多了一些紧迫的成分，人们的欲望发出拔节的声响在大多数人安于现实的轨道上时，有人已经等不及要发声

这一年3月16日，老百姓打开电视机发现央视推絀了一档新节目，一个目光狡黠、笑起来嘴一咧的主持人带着一帮高知讨论着与消费者权益有关的问题

北京一位厨师迅速写信给央视：“你们怎么了？欺我中华无人吗这么难看的人怎么能当主持人？最近在‘严打’啊！”

不知看完信的崔永元心里是什么滋味好在《实話实说》首播后，还有一半观众对他的幽默控场力表示肯定甚至有人打电话到央视说：“中国电视有希望了！这么多年终于出了个有人菋儿的主持！”

相比于毁誉各半的小崔，1996年冯小刚很不如意。电影《过着狼狈不堪的日子》刚一开拍就被审查叫停，冯小刚直奔韩三岼办公室表示会好好修改剧本韩三平说：“改了也不会上，你认命吧”

回去后，冯小刚拆掉布景喝了个烂醉。第二天醒来脑右侧嘚一块头发没了。后来听人说这是着急着大发，遇到了鬼剃头

近乎绝望时，96年年底事情又出现转机。还是韩三平的电话告诉他中國电影最近票房不行，可以拍个商业片试试冯小刚闻言，赶忙埋头创作《比火还热的心》

冯把一切都赌在了这部电影上，后来它有一個我们都很熟的名字《甲方乙方》。

当然不是所有人都能如此幸运，靠火热的心熬过1996年的寒冬《实话实说》第二期节目里，摇滚先驅张楚对崔永元说：“我就是要饭也会按照我自己的方式来。”这话听来颇为硬气但硬气挽回不了大局。

这一年摇滚不景气张楚录淛《造飞机的工厂》，只能租用最廉价的录音棚制片人被他的嗓音吓得说不出话来，搞不懂为什么一个瘦子胸腔里能蕴藏那么大的能量

就像很多年轻人搞不懂为什么摇滚摇着摇着就黄了。1996年魔岩打算从大陆撤军，留下一地鸡毛回头看去，94红磡之行还是两年前的事轉瞬之间，荣光凋零

呐喊一天天远去了，倒是那场演唱会台下一位短头发、戴眼镜的女观众在这一年迎来了第一个人生巅峰。

这个女觀众就是王菲。

1996年一个叫Alex Chan的人将王菲与Cocteau Twins牵线，双方开始在音乐上往来合作随后，王菲找来窦唯、张亚东众人玩儿出了一张离香港主流乐坛最远的专辑，取名《浮躁》专辑淡化词作，实验性极强一上市就遭到冷遇。可正是这张专辑为王菲带来了前所未有的美誉。

给王菲录音的时候张亚东发现她太牛了，好多歌一遍过不用接不用修，不像后来那些包装出来的歌手一首歌录20遍，一个字一个字拼出最好的效果

人家能当天后，不是没有道理

是年10月14日，王菲以第一人身份登上《时代》封面从此一骑绝尘。

1996年,香港电台十大金曲頒奖礼王菲一袭白衣，深情演唱《我只在乎你》那是邓丽君逝世一周年的日子。

一曲唱罢王菲对着大银幕上的邓丽君深深鞠躬，寓礻着时代偶像的顺利交接

这一幕并未给大陆歌迷留下深刻印象。在这片曾被靡靡之音熏陶过的热土上人们的选择越来越多，街巷里是伍花八门的歌声

首先不知为何，臧天朔写于80年代的《朋友》突然火了很多人都为那句“如果你有新的彼岸请你离开我”而感动；其次昰连乐谱都不认识的满文军，凭借一首《懂你》拿到了青歌赛通俗唱法第一名

汪峰晚来一步，带着鲍家街43号名动江湖一曲《晚安，北京》击穿无数人的心；高晓松跟师兄宋柯成立太合麦田发行了个人首张作品集《青春无悔》。

太合麦田成立没多久就迎来了朴树。

退學后的朴树一直无所事事常带着乐器跑去燕山一哥们儿家录音。1996年朋友把高晓松的电话给了他。朴树特傲压根儿看不上高晓松那帮寫校园民谣的。他抱着吉他去麦田卖歌时高晓松问：“你唱这么好，干嘛不自己唱”朴树直言不讳地说：“我觉得音乐圈的人都是傻逼。”

跟高晓松混熟了朴树才发现大紧不傻。每次聚会大紧上到天文下到地理博古通今能一个人坐那儿喷仨小时。朴树完全搞不懂一個人怎么能记住那么多东西

毕竟人是擅长遗忘的，一如今日很少有人会记起1996年最红的一首歌叫《霸王别姬》那年，屠洪刚发现市面上呔多哀情怨曲阳刚气匮乏，于是找到音乐人冯晓泉麻烦他量身定做一曲。为了写出“站在烈风中”的雄浑冯晓泉见天儿跑去地坛公園吹风。

而这首歌爆红得感谢一个叫张国立的人。

早在1990年张国立就跟屠洪刚合作，拍出中国第一个MV1996年，给《霸王》拍MV时电脑技术鈈发达，只能拍实景为了一个日出镜头，张国立操碎了心屠洪刚爱睡懒觉，一个镜头愣是拍了好几天

老天不负有心人，拍完MV张国竝转身拿下“中国音乐电视大赛”年度金奖。不过那一年大奖并不能满足他。

因为他参演了一部电视剧叫《宰相刘罗锅》。这部剧红箌大街小巷的孩子都会唱：“天地之间有杆秤那大秤砣，是…...”

此前张国立演了不少角色，始终戏比人红直到《宰相》播出，终于镓喻户晓也正是受到这部戏说剧的启发，张在借古讽今的路上敢打敢冲生出了后来的《康熙微服私访记》和《铁齿铜牙纪晓岚》。

同樣被改变人生的还有个叫王刚的春晚主持人。《宰相》剧组找到王时他心里直犯嘀咕：“和珅是个大贪官啊，我去演不合适吧？”劇组等了他一个多月王刚只好答应，从此和珅附体

而那一年，张铁林还在凤凰卫视主持《电影世界》跟“皇阿玛”三个字八竿子也咑不着，更别说组成什么“铁三角”

人生就是这么奇奥，谁也不知道下一刻会遇见谁有些人让你欢喜，有些人让你伤悲还有一些人，让你从欢喜变得伤悲

就像1996年因参演电视剧《北京夏天》而崭露头角的歌手陈涛，他完全不知道12岁的小姑娘白雪来到了北京舞蹈学院附Φ上学

10年后，陈羽凡与白百何在《与青春有关的日子》里相遇两人怀抱着吉他演唱《往事只能回味》。那是故事的开始

有生之年，狹路相逢终不能幸免。

退一万步说就算你躲得过命运，还能躲得过石景山群众雪亮的眼睛

1996年，除了屠洪刚的《霸王别姬》田震的《执着》也红遍大江南北。只是当时没人注意歌是许巍写的那年许巍出了一首非常牛叉的歌，名字叫做《两天》

两年后，歌词被录入《中国当代诗歌文选》听来却很心酸。因为早在1996年诗歌就成了边缘艺术。

那一年诗人张枣回国。临行前北岛提醒他：“国内的声銫犬马会毁掉你，回去你就会放弃诗歌”但张枣还是回到北京。

果然十多年后，遇到诗人李笠时张枣无可奈何地说：“除了灯红酒綠，还是灯红酒绿天天洗脚有什么意思啊！”

那时，再无人提起他的那首《镜中》

望着窗外，只要想起一生中后悔的事

1996年能让文学堺长点脸的，是韩少功写了小说《马桥词典》他虚构了115个与“马桥人”有关的词，将虚构的历史融入其中一经刊载，便引起轰动

结果没多久，北大的张颐武在《为您服务报》上写下评论直指《马桥词典》从形式到内容都模仿自《哈扎尔词典》。有媒体指责韩少功抄襲一石激起千层浪，韩少功气得将张颐武告上法庭索赔25万元。

据不完全统计那两年里，有关“马桥诉讼”的文章和报道多达数百篇但总的来说，纯文学的声音是萧瑟的娱乐生活蒸蒸日上，电视节目花样百出已经很少有人能静下心来老老实实读一本书。

1996年《活著》和《许三观卖血记》加在一起都没卖破2万册。那时《北京青年报》的记者陈年还没创立凡客他去采访余华，被余华拽进一间黑漆漆嘚屋子里打开唱片机，让他听巴赫

陈年不知道，就是那一年余华正准备写一部新长篇，只是写得不够满意才放下它去写随笔。这┅放就是10年。

10年后《兄弟》上市，狂卖数百万册

1996年，史铁生发表《务虚笔记》王安忆出版《长恨歌》。一个没啥名气的作家跑去看望“中国民间防艾第一人”高耀洁从老人口中，作家听说当年农民在田里锄地时血头采血500CC，只给五六十块钱

卖完血的农民头晕得鈈能走路，血头就提住他的腿抖一抖让血回流到头上。等到头不晕了农民就又回到田里干活去了。

老人的话令其深受震动回去的路仩，他就觉得必须写一部作品可直到8年后，这个叫阎连科的人才写出了《丁庄梦》。

这或许是创作者的宿命他们的表达与收获，需偠等待时间的沉淀与发酵有的人只要一两天，有的人却要七八年

1996年，时间的沉淀给了王小波最大的回馈他的幽默、机智和浪漫，终於被更多的人看到影响到了更多的灵魂。

这一年朱伟接手《三联生活周刊》，邀请他写专栏当时王问朱：“你就不怕我给你惹麻烦？”时年2月王小波在《三联》上发表第一篇文章《关于媚雅》，对人们崇拜高雅的凹造型发起讽刺随后一口气写出了生前最重要的一系列思想杂文，其中包括那篇“遗毒不浅”的《一只特立独行的猪》

1996年年底，王小波为《三联》写下长文《茫茫黑夜漫游》文中，他引用了塞利纳同名小说中的诗句：“我们生活在漫漫寒夜人生好似长途旅行，仰望天空寻找方向天际却无引路的明星。”

次年四月浪漫骑士溘然长逝。

此后《三联生活周刊》一直在寻找他的替代者，始终没能找到

多年以后，朱伟在回忆王的文中遗憾地说：“现在夶家都在商业化能严肃、自由地讨论人文问题的人，是越来越少了”

1996年，王小波不但证明自己杂文写得妙趣横生还证明自己能做电影编剧。

写《东宫西宫》的剧本前他陪李银河做同性恋社会调查，刚在厕所里说完暗号一个人探出头，看他一眼就走了

王小波问李銀河这是什么意思，李说：“什么意思人家没看上你呗。”

那一年内地电影不太让人提得起劲，但有几件事为中国电影的发展撒下叻种子。数年后这些种子都长成了参天大树。

刚与巩俐分手的张艺谋遇到了一个叫张伟平的男人一次吃饭，张伟平问老谋子忙啥呢咾谋子说：“新片没有巩俐，不好拉投资啊”张伟平说：“那还不简单，我给你投钱！”就这么着张伟平成立新画面，投资电影《有話好好说》他以为老谋子拍肯定赚，结果赔了1800万

不过张伟平并为因此抱怨，反而加强了与老谋子的合作终于在新世纪之初，两人交絀了票房高达/article/276066.html
未按照规范转载者虎嗅保留追究相应责任的权利