发布时间:2022-6-1 分类: 行业动态
喜欢玩“杀虫剂”的Android派对,最近出现了一款手机勒索软件,冒充流行的手机游戏《王者荣耀》辅助工具,即插件。在手机中安装勒索软件后,它会对手机中的照片,下载和云盘中的个人文件进行加密,并要求勒索赎金。
发生了什么?在过去的两天里,雷锋和360安全中心的技术兄弟发现此事保持联系,最后得到了第一个分析。
情况就是这样。 6月2日,有关于儿童鞋的反馈。他只是想用“农药”的“辅助工具”,他没有费心说“插件”,然后电话被锁定了。还有类似“永恒蓝”的勒索软件界面。
20块都不想给你
技术兄弟首先进行了初步分析,发现除了诱人的用户下载和安装外,这款勒索软件还将通过PC和手机的社交平台和游戏群体进行传播。
也许“永恒的蓝色”的邪恶影响有一种极其黑暗的崇拜。这个勒索软件的作者使得勒索软件勒索页面成为“永恒蓝色”勒索软件的高仿电脑版。软件运行后,Android手机用户的桌面壁纸,软件名称和图标将被篡改。手机中照片,下载,云盘等目录中的文件都经过加密,用户勒索赎金,金额从20元到40元不等。它还声称赎金将不会支付3天,价格将翻倍,7天将不会支付,所有加密文件将被删除。
纳尼,你努力制作一个Android锁屏病毒,然后敲诈20元到40元?你瞧不起我们吗?王者荣耀”玩家?
根据最后一位DNF球员因为一个句子“死肥屋”,玩家必须穿着西装现场表演,王者荣耀的球员可能会得到恰当的信服!
技术兄弟不这么认为,敢于挑起我们做安全研究吗? 20件不适合你!
勒索病毒作者已被找到
技术兄弟发起了一轮深入分析,发现该病毒有很多变种。通过生成器选择不同的配置信息,可以对加密算法和密钥生成算法进行随机变化,甚至可以选择生成的病毒样本。巩固混乱。由于大量的发电机衍生版本,每个发电机可以随机配置,这大大增加了维修的难度。
当前发现的病毒样本使用AES和XOR加密。恢复的难度在于随机配置信息。面对众多关键随机方法,要找到统一的恢复方法并不容易。
对已发现的随机方式统计如下:
1.加密方法:AES,XOR;
2.密钥生成算法:随机数加固定值,随机字符串;
3.密钥使用的固定值在不同版本中是不同的。
不仅发现了勒索软件的“常规”,技术兄弟,而且发现了“罪魁祸首”。通过对国王荣耀补充的勒索软件的详细分析,发现作者在病毒开发中常用的QQ号是127 ***** 38,与多个作者QQ号相关联,作者大小873 ** *** 8早在2016年开始在线传播病毒生成器。这些病毒生成器用户需要向生成器作者支付一定金额才能获得使用权。
该病毒作者声称,这是Android的“永恒之蓝”,并且在他自己的QQ空间中,为宣传而尖叫(目前已删除)。
技术兄弟甚至找到了关于作者的其他个人信息,是的,你不能逃避。
病毒传播居然采用“收徒”制
言归正传,我找到了作者和病毒变种,技术兄弟也咬牙切齿地分析了赎金病毒的路径和工具。我不知道,我很害怕。该通信生产工具实际上采用类似于“许可”的通信方法。
1.病毒作者使病毒生成器使用或授权其他人使用它;
2.通过QQ群,QQ空间制作教程,或上传教学视频通讯;
3.作者的学徒修改了病毒生成器并使用它或授权其他人使用它。
看起来好像你已经看过很多传销组织,你将肩负太阳并肩并肩。
勒索软件的传播主要是通过伪装当前比较热门的软件,诱使用户下载,如王者的荣耀,王者的荣耀等工具。是的,不仅要照顾“插件”的需求,还要看“美化”的需求。
作者出来了,你说你是高级<杀虫剂>播放器?
我们来看几个沟通渠道:
通过网站传播
在静态分析病毒期间,我们发现了疑似病毒作者的QQ号码。通过相关性分析,我们早在2016年找到了病毒编写者并开始传播病毒生成器。
通过QQ群传播
该病毒作者通过QQ群发布病毒制作教程,并出售发电机,价格为10元,20元。您不仅使用生成器生成勒索软件,而且还通过QQ群通信离线开发。目前,有数百个病毒发生器,其背后有不止一个团伙。
这些病毒生成器有多种形式,但它们的代码可用于查看与原作者的直接联系。
通过视频传播
最近,作者在网上发布了测试视频以供传播。https://v.qq.com/x/page/i05086gw4a5.html。
技术流:病毒详细分析
惊愕之后,作为雷锋网络安全通道的读者,您可能是技术控制者,所以看一下详细分析该技术的兄弟病毒。
核心流程分析
勒索软件运行后,它将首先在[10000000,19999999]间隔内生成一个8位随机数。
1.加密条目
首次进入软件时启动加密线程,否则主页将被勒索页面替换
2,文件遍历
遍历根目录/storage/emulated/0 /中的所有文件,路径包含android,com。,miad目录;如果路径包含下载(系统下载),dcim(摄像头照片),baidunetdisk(百度云盘),则目录中的所有文件都被加密。该病毒仅加密10kb到50mb之间的文件,文件名包含“。”。
3.加密逻辑
调用getsss()以生成AES加密/解密密钥。
调用AES算法来加密文件。
加密成功后,文件被重命名,重命名为:原始文件名+。不要卸载软件解密加QQ3135078046bahk +随机数。
4.文件删除操作
在指定时间内未支付赎金后,勒索软件将删除加密文件。
变体功能
变式1:替换键增值
类似的变体包括随机数+666,随机数+520,随机数+12232等。
变式2:增强的加密密钥生成算法
随机生成一个10个字符的字母数字字符串。
变式3:XOR加密算法
