王者荣耀爆勒索病毒,玩家手机可能被锁

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是王者荣耀爆勒索病毒,玩家手机可能被锁,上个月初,趋势科技检测到移动勒索软件SLocker再次出现变异,并将其命名为ANDROIDOS_SLOCKER.OPST,该变种已经会伪装成WannaCry的攻击界面,让受害人误以为他们是遭受了WannaCry的攻击。
本文讲的是 王者荣耀爆勒索病毒,玩家手机可能被锁

王者荣耀爆勒索病毒,玩家手机可能被锁

上个月初,趋势科技检测到移动勒索软件SLocker再次出现变异,并将其命名为ANDROIDOS_SLOCKER.OPST,该变种已经会伪装成WannaCry的攻击界面,让受害人误以为他们是遭受了WannaCry的攻击。

SLocker恶意软件家族是现存使用时间最长的移动锁屏和文件加密勒索软件之一,使用AES加密算法,然后要求受害者支付赎金才提供解密密钥。SLocker大约有400个变种,其中大多数变种会进行伪装,包含改变图标、应用程序名称、执行程序等,隐藏恶意程序的签名,避免被杀毒软件检测到。SLocker会隐藏在第三方来源的Android应用商店里,用户手机一旦被感染,屏幕就会立刻被锁住,并在勒索信中恐吓受害者,若不支付赎金,他们就威胁受害者将他们的个人资料泄露出去。

SLocker在经过了几年的沉寂之后,于去年5月又重新出现了,当时新发现的SLocker已经可以对Android文件进行加密了。虽然当时它已经能够在移动设备上加密文件了,但造成的危害却特别小,因为该变体被发现后不久,解密工具就被开发出来了。五天后,负责赎金的嫌疑人就被中国警方逮捕了。幸运的是,由于传播渠道有限(主要通过QQ群和公告板系统等论坛传播),受害人人数很少,下图就是SLocker变体的感染时间段:

王者荣耀爆勒索病毒,玩家手机可能被锁

趋势科技获得的ANDROIDOS_SLOCKER.OPST原始样本就是从王者荣耀的一键秒杀辅助脚本中发现的,ANDROIDOS_SLOCKER.OPST原始样本伪装成辅助脚本,当游戏玩家安装次功能时,就会中招,并出现与WannaCry相似的勒索界面:

王者荣耀爆勒索病毒,玩家手机可能被锁

另外,该样本会伪装成游戏指南,视频播放器等,以引诱用户进行安装。首次安装时,其图标看起来像一个普通的游戏指南或作弊工具。一旦样本开始运行,恶意应用程序将更改图标和名称,并对受感染的手机进行锁屏。

SLocker还发布了“com.android.tencent.zdevs.bah.MainActivity”的禁用活动别名。然后,通过禁用原始活动并启用别名来更改其图标,下图就是运行后,SLocker的图标和名称发生变化:

王者荣耀爆勒索病毒,玩家手机可能被锁

SLocker如何加密文件

当游戏玩家安装了SLocker后,它会开始检查其运行的环境,如果不利于恶意程序的运行,它会生成一个随机数,并将其存储在SharedPreferences中,这是保存持久性应用程序数据的位置,然后它将找到设备的外部存储目录并启动一个新线程。

该线程将首先通过外部存储目录来查找符合特定要求的文件:

1.目标文件的小写路径不能包含“/”,“android”,“com”和“miad”

2.使用外部存储作为根目录,目标文件应位于目录级别小于3的目录中,或者小写文件路径包含“baidunetdisk”,“download”或“dcim” 

3.文件名必须包含 “.”,加密文件名的字节长度应小于251

4.该文件必须大于10 KB且小于50 MB

SLocker不会加密系统文件,而是对下载的文件和图片进行加密,并且只会加密具有后缀(文本文件,图片,视频)的文件。当找到满足所有要求的文件时,线程将使用ExecutorService(一种Java运行异步任务的方法)来运行新任务,下图就是新任务开始的部分代码:

王者荣耀爆勒索病毒,玩家手机可能被锁

新任务将使用名为“getsss”的方法来将先前生成的随机数转换成密码,该方法会计算随机数的MD5,并从MD5的十六进制表示中选择16个字符作为字符串。生成字符串后,在使用AES加密文件之前,SLocker将它提供给SecretKeySpec来构建AES的最终密钥,下图就是“getsss”方法的部分代码:

王者荣耀爆勒索病毒,玩家手机可能被锁

一旦文件被加密,后缀将被添加到文件名。如下图所示,后缀包含一个QQ号和用于生成密码的随机数。

王者荣耀爆勒索病毒,玩家手机可能被锁

SLocker会向受害者提供三种支付赎金的选择,不过在趋势科技人员分析的样本中,这三种方式最后都会生成相同的QR码,要求受害者通过QQ付款。如果三天后受害人拒绝支付,那么赎金将会提高,要是还不行则攻击者可能会在一周后删除所有文件。

王者荣耀爆勒索病毒,玩家手机可能被锁

攻击者会告诉受害者,只要支付赎金就会发送解密密钥。通过专家们的分析,他们发现如果受害者输入密钥并点击解密按钮,那么SLocker就会将把输入的密钥与MainActivity.m中的值进行比较。但是跟踪MainActivity.m后,专家们发现该值实际上是前面提到的随机数再加上520。

王者荣耀爆勒索病毒,玩家手机可能被锁

以本文提到这个样本为例,随机数为10049252.所以解密密钥应为10049772(10049252 + 520)。使用它作为密钥并单击解密按钮将解密文件。

王者荣耀爆勒索病毒,玩家手机可能被锁

众多新变种已出现

SLocker最初被发现之后,就出现了很多的变种。虽然有一些变体更改了生成解密密钥的方法,但是还是有相应的公式可寻,只要能发现,用户就可以自行解密文件。如下图所示,最开始使用的公式是随机数+ 520,往后虽然出现了变化,但都非常相似。

王者荣耀爆勒索病毒,玩家手机可能被锁王者荣耀爆勒索病毒,玩家手机可能被锁

有些变异版本可以做到避免被静态检测到:

王者荣耀爆勒索病毒,玩家手机可能被锁

SLocker的预防

相比其他的勒索软件,SLocker算是功能比较简单的了。所以安全管理人员实际上很容易发现它并找到解密文件的方式。然而,从王者荣耀的事件可以看出,SLocker正在以各种方式来扩大自己的影响力。

下面专家们就提了几点建议,以避免我们的手机被锁屏:

1.只能安装从Google Play等合法应用商店下载的应用

2.请注意应用程序要求的权限,特别是注意应用程序在外部存储上读取或写入的权限

3.在另一个安全设备或云存储上定期备份数据

IOCS

王者荣耀爆勒索病毒,玩家手机可能被锁




原文发布时间为:2017年7月7日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
网狐荣耀手机端内核源码
网狐荣耀手机端内核源码
330 0
|
异构计算 SoC
走进武汉研究所 探秘荣耀手机的「液冷散热技术」
前不久荣耀发布了 Note10 手机,最大亮点莫过于「THE NINE液冷散热技术」。据官方介绍,荣耀成功将与 MacBook Air 液冷管直径(5mm)一样的 D5 液冷管塞进了仅有 7.65mm 厚的机身中,最大幅度地覆盖了整机进行科学散热。这在手机里还是首次实现这样 PC 级的散热技术。
594 0
走进武汉研究所 探秘荣耀手机的「液冷散热技术」
|
人工智能 算法 5G
5G手机售价下探至1699元,荣耀30青春版发布
7月2日,荣耀夏季5G新品发布会召开,发布了荣耀30青春版手机,该机支持5G双网通。
214 0
5G手机售价下探至1699元,荣耀30青春版发布
|
人工智能 Android开发
荣耀手机四周年大猜想,AI战略与海外布局或成主体
几年间,互联网手机变天。来自赛诺的数据显示,2017年1-9月,荣耀超越小米,成为互联网手机出货量、销售额双料第一。至此,荣耀将曾经以12.5%份额在国内市场领头的小米斩落马下,互联网手机已经告别了三年前诸侯混战的大乱局,国内大势已成。
171 0
荣耀手机四周年大猜想,AI战略与海外布局或成主体
|
数据采集 安全 程序员
Python3网络爬虫(十三):王者荣耀那些事!(Fiddler之手机APP爬取)
运行平台: Windows Python版本: Python3.x IDE: Sublime text3   前言 实战背景 准备工作 什么是Fiddler 手机APP抓包设置 Fiddler设置 安全证书下载 安全证书安装 局域网设置 Fiddler手机抓包测试 实战走起 下载英雄图片 英雄推荐出装查询助手 总结   1 前言     暑假回家,”小皇帝”般的生活持续了几天,头几天还挺舒服,闲久了顿时觉得好没意思。
3146 0
|
安全
卡巴斯基提示:“手机骷髅”病毒引发新一轮安全隐患
近日疯狂传播的“手机骷髅”病毒使得人们又开始关注手机系统的安全性。据以往大家所了解到的情况,手机病毒目前还未呈现大规模爆发的情况,所以人们对手机病毒的危害警惕性不高,安装手机反病毒软件的用户也不多。
1334 0
|
Web App开发
怎么把荣耀8x的手机备忘录导到电脑里?
怎么把荣耀8x的手机备忘录导出到电脑里? 当然是华为云服务空间了。 荣耀品牌手机是华为终端主攻互联网手机业务的全资子品牌,因此,荣耀手机可以登录华为的云服务空间,而备忘录可以和图库、录音、联系人一样直接同步到云端,所以荣耀8x的手机开启云备份功能,就能把备忘录的内容同步到云端,在电脑网页上登录华为账号就能查看备忘录内容。
4510 0

热门文章

最新文章