喜歡玩“殺蟲劑”的Android派對，最近出現(xiàn)了一款手機勒索軟件，冒充流行的手機游戲《王者榮耀》輔助工具，即插件。在手機中安裝勒索軟件后，它會對手機中的照片，下載和云盤中的個人文件進行加密，并要求勒索贖金。

發(fā)生了什么？在過去的兩天里，雷鋒和360安全中心的技術(shù)兄弟發(fā)現(xiàn)此事保持聯(lián)系，最后得到了第一個分析。

情況就是這樣。 6月2日，有關(guān)于兒童鞋的反饋。他只是想用“農(nóng)藥”的“輔助工具”，他沒有費心說“插件”，然后電話被鎖定了。還有類似“永恒藍”的勒索軟件界面。

　　20塊都不想給你

技術(shù)兄弟首先進行了初步分析，發(fā)現(xiàn)除了誘人的用戶下載和安裝外，這款勒索軟件還將通過PC和手機的社交平臺和游戲群體進行傳播。

也許“永恒的藍色”的邪惡影響有一種極其黑暗的崇拜。這個勒索軟件的作者使得勒索軟件勒索頁面成為“永恒藍色”勒索軟件的高仿電腦版。軟件運行后，Android手機用戶的桌面壁紙，軟件名稱和圖標(biāo)將被篡改。手機中照片，下載，云盤等目錄中的文件都經(jīng)過加密，用戶勒索贖金，金額從20元到40元不等。它還聲稱贖金將不會支付3天，價格將翻倍，7天將不會支付，所有加密文件將被刪除。

納尼，你努力制作一個Android鎖屏病毒，然后敲詐20元到40元？你瞧不起我們嗎？王者榮耀”玩家？

根據(jù)最后一位DNF球員因為一個句子“死肥屋”，玩家必須穿著西裝現(xiàn)場表演，王者榮耀的球員可能會得到恰當(dāng)?shù)男欧?/p>

技術(shù)兄弟不這么認為，敢于挑起我們做安全研究嗎？ 20件不適合你！

　　勒索病毒作者已被找到

技術(shù)兄弟發(fā)起了一輪深入分析，發(fā)現(xiàn)該病毒有很多變種。通過生成器選擇不同的配置信息，可以對加密算法和密鑰生成算法進行隨機變化，甚至可以選擇生成的病毒樣本。鞏固混亂。由于大量的發(fā)電機衍生版本，每個發(fā)電機可以隨機配置，這大大增加了維修的難度。

當(dāng)前發(fā)現(xiàn)的病毒樣本使用AES和XOR加密。恢復(fù)的難度在于隨機配置信息。面對眾多關(guān)鍵隨機方法，要找到統(tǒng)一的恢復(fù)方法并不容易。

　　對已發(fā)現(xiàn)的隨機方式統(tǒng)計如下：

1.加密方法：AES，XOR;

2.密鑰生成算法：隨機數(shù)加固定值，隨機字符串;

3.密鑰使用的固定值在不同版本中是不同的。

不僅發(fā)現(xiàn)了勒索軟件的“常規(guī)”，技術(shù)兄弟，而且發(fā)現(xiàn)了“罪魁禍首”。通過對國王榮耀補充的勒索軟件的詳細分析，發(fā)現(xiàn)作者在病毒開發(fā)中常用的QQ號是127 ***** 38，與多個作者QQ號相關(guān)聯(lián)，作者大小873 ** *** 8早在2016年開始在線傳播病毒生成器。這些病毒生成器用戶需要向生成器作者支付一定金額才能獲得使用權(quán)。

該病毒作者聲稱，這是Android的“永恒之藍”，并且在他自己的QQ空間中，為宣傳而尖叫（目前已刪除）。

技術(shù)兄弟甚至找到了關(guān)于作者的其他個人信息，是的，你不能逃避。

　　病毒傳播居然采用“收徒”制

言歸正傳，我找到了作者和病毒變種，技術(shù)兄弟也咬牙切齒地分析了贖金病毒的路徑和工具。我不知道，我很害怕。該通信生產(chǎn)工具實際上采用類似于“許可”的通信方法。

1.病毒作者使病毒生成器使用或授權(quán)其他人使用它;

2.通過QQ群，QQ空間制作教程，或上傳教學(xué)視頻通訊;

3.作者的學(xué)徒修改了病毒生成器并使用它或授權(quán)其他人使用它。

看起來好像你已經(jīng)看過很多傳銷組織，你將肩負太陽并肩并肩。

勒索軟件的傳播主要是通過偽裝當(dāng)前比較熱門的軟件，誘使用戶下載，如王者的榮耀，王者的榮耀等工具。是的，不僅要照顧“插件”的需求，還要看“美化”的需求。

作者出來了，你說你是高級<殺蟲劑>播放器？

我們來看幾個溝通渠道：

　　通過網(wǎng)站傳播

在靜態(tài)分析病毒期間，我們發(fā)現(xiàn)了疑似病毒作者的QQ號碼。通過相關(guān)性分析，我們早在2016年找到了病毒編寫者并開始傳播病毒生成器。

　　通過QQ群傳播

該病毒作者通過QQ群發(fā)布病毒制作教程，并出售發(fā)電機，價格為10元，20元。您不僅使用生成器生成勒索軟件，而且還通過QQ群通信離線開發(fā)。目前，有數(shù)百個病毒發(fā)生器，其背后有不止一個團伙。

這些病毒生成器有多種形式，但它們的代碼可用于查看與原作者的直接聯(lián)系。

　　通過視頻傳播

最近，作者在網(wǎng)上發(fā)布了測試視頻以供傳播。https://v.qq.com/x/page/i05086gw4a5.html。

　　技術(shù)流：病毒詳細分析

驚愕之后，作為雷鋒網(wǎng)絡(luò)安全通道的讀者，您可能是技術(shù)控制者，所以看一下詳細分析該技術(shù)的兄弟病毒。

　　核心流程分析

勒索軟件運行后，它將首先在[10000000,19999999]間隔內(nèi)生成一個8位隨機數(shù)。

1.加密條目

首次進入軟件時啟動加密線程，否則主頁將被勒索頁面替換

2，文件遍歷

遍歷根目錄/storage/emulated/0 /中的所有文件，路徑包含android，com。，miad目錄;如果路徑包含下載（系統(tǒng)下載），dcim（攝像頭照片），baidunetdisk（百度云盤），則目錄中的所有文件都被加密。該病毒僅加密10kb到50mb之間的文件，文件名包含“。”。

3.加密邏輯

調(diào)用getsss（）以生成AES加密/解密密鑰。

調(diào)用AES算法來加密文件。

加密成功后，文件被重命名，重命名為:原始文件名+。不要卸載軟件解密加QQ3135078046bahk +隨機數(shù)。

4.文件刪除操作

在指定時間內(nèi)未支付贖金后，勒索軟件將刪除加密文件。

變體功能

變式1：替換鍵增值

類似的變體包括隨機數(shù)+666，隨機數(shù)+520，隨機數(shù)+12232等。

變式2：增強的加密密鑰生成算法

隨機生成一個10個字符的字母數(shù)字字符串。

變式3：XOR加密算法

« 優(yōu)步提交了IPO申請，預(yù)計將成為美國股市上市的第一家在線汽車公司 | 建立網(wǎng)站時需要注意哪些SEO問題？ »