勒索病毒冒充《王者荣耀》外挂敲诈20元,黑客被找到

  • 时间:
  • 浏览:0

爱打“农药”的安卓党小心了,最近再次老出一款手机勒索病毒,冒充热门手游《王者荣耀》辅助工具,也很多很多外挂。该勒索病毒被安塞进手机后,会对手机中照片、下载、云盘等目录下的当事人文件进行加密,并索要赎金。

究竟杂办?这三天,雷锋网和发现此事的3200安全中心的技术小哥保持联系,终于获得了一手分析情报。

是完后 的,6月2号,有童鞋反馈,他很多很多想下三个 多“打农药”的“辅助工具”(没好意思说“外挂”),很多很多手机就被锁屏了,还再次老出了之类于“永恒之蓝”的勒索界面。

20块刚刚 想我应该

技术小哥先进行了初步分析后发现,除了诱惑用户下载和安装,这款勒索病毒刚刚通过PC端和手机端的社交平台、游戏群等渠道进行传播扩散。

你说对“永恒之蓝”带来的邪恶影响带着极其黑暗的崇拜,这款勒索软件的作者把勒索敲诈页面做成了高仿电脑版的“永恒之蓝”勒索病毒。软件运行后,安卓手机用户的桌面壁纸、软件名称和图标会被篡改。手机中的照片、下载、云盘等目录下的文件进行加密,并向用户勒索赎金,金额在20元、40元不等。很多很多宣称三天不交赎金,价格将翻倍,三天不交,将删除所有加密文件。

纳尼,你辛辛酸涩做了三个 多安卓机锁屏病毒,很多很多勒索20元到40元?你是刚刚 看不起亲戚亲戚大家“王者荣耀”玩家?

按照上次DNF玩家完后 一句“死肥宅”就要求玩家穿西装直播的套路,王者荣耀玩家完后 会妥妥地不服气啊!

技术小哥不越来越 想,敢挑衅亲戚亲戚大家做安全研究的?20块刚刚 我应该 !

勒索病毒作者已被找到

技术小哥开展了一轮强度分析,发现该病毒变种较多,通过生成器选则不同的配置信息,刚刚 在加密算法、密钥生成算法上进行随机的变化,甚至刚刚 选则对生成的病毒样本进行加固混淆。完后 其生成器衍生版本众多,每个生成器又刚刚 进行随机化的配置,很大程度上增加了修复难度。

目前发现的病毒样本采用的是AES和异或的加密最好的最好的办法,其恢复难点在于随机化的配置信息,面对众多的密钥随机最好的最好的办法,不容易找到统一的恢复最好的最好的办法。

对已发现的随机最好的最好的办法统计如下:

1、加密最好的最好的办法:AES、异或;

2、密钥生成算法:随机数字加固定值、随机字符串;

3、密钥使用的固定值在不同版本中不同。

不仅发现了该勒索病毒的“套路”,技术小哥一发力,找到了“罪魁祸首”。通过对冒充王者荣耀辅助的勒索软件进行完整版分析发现,作者在病毒开发中常使用的QQ号为127*****38,由此关联到的多个作者QQ号中,作者大号873*****8早在2016年就完后 刚开使在网上传播病毒生成器。一点病毒生成器使用者需向生成器作者支付一定金额来获取使用权限。

病毒作者号称这是“永恒之蓝”安卓版,并在当事人的QQ空间,大肆炫耀宣传(目前已删除)。

技术小哥甚至完后 顺藤摸瓜找到了该作者的一点当事人信息,对,你跑不掉了。

病毒传播岂刚刚 采用“收徒”制

言归正传,找到了作者和病毒变种,技术小哥还咬咬牙,分易挥发了该勒索病毒的传播路径和工具。不看我不在乎 ,一看吓一跳。一点传播制作工具岂刚刚 采用之类于“收徒”的传播最好的最好的办法。

1、病毒作者制作病毒生成器当事人使用或授权他人使用;

2、通过QQ群、QQ空间、或是上传教学视频传播制作教程;

3、作者徒弟修改病毒生成器,当事人使用或是授权他人使用。

仿佛看多一窝传销组织,你这是要上天和太阳肩一并吧。

勒索病毒的传播主很多很多通过伪装成当下比较火的软件,诱使用户下载,如王者荣耀辅助、王者荣耀美化等工具。是的,不仅照顾到“外挂”需求,还看多了“美化”需求。

作者你出来,你说你是刚刚 资深“农药”玩家?

亲戚亲戚大家来看一下有几次传播渠道:

通过网站传播

静态分析病毒过程中,亲戚亲戚大家找到疑似病毒作者的QQ号,通过关联分析,亲戚亲戚大家定位到该病毒作者早在2016年就完后 刚开使传播病毒生成器。

通过QQ群传播

病毒作者通过QQ群发布病毒制作教程,并出售生成器,价格10元、20元不等。不仅当事人使用生成器生成勒索病毒,作者还通过QQ群传播发展下线,目前已发现病毒生成器种类多达数百个,身前的团伙不只一人。

一点病毒生成器形式多样,很多很多通过其代码刚刚 看出与原作者的直接联系。

通过视频传播

近期该作者在网上发布测试视频进行传播。https://v.qq.com/x/page/i020086gw4a5.html。

技术流:病毒完整版分析

在惊叹完后 ,作为雷锋网网络安全频道的读者,你你说是三个 多技术控,很多很多来看一波技术小哥倾情奉献的病毒完整版分析。

核心流程分析

勒索病毒运行后首先会生成[20000000,19999999]区间内的三个 多8位随机数

1、加密入口

首次进入软件时启动加密线程池池运行,很多很多主页替换为勒索页面

2、文件遍历

遍历根目录/storage/emulated/0/下所有文件,过滤路径中饱含android、com.、miad的目录;完后 路径中饱含download(系统下载)、dcim(相机照片)、baidunetdisk(百度云盘),则对该目录下的所有文件进行加密避免。病毒只加密10kb到200mb之间、文件名中饱含“.”的文件。

3、加密逻辑

调用getsss()生成AES加密/解密密钥。

调用AES算法加密文件。

加密成功完后 ,对文件进行更名,更名为:原始文件名+.勿卸载软件解密加QQ313200720046bahk+随机数。

4、文件删除操作

指定时间内未交赎金后,勒索病毒完后 对加密的文件进行删除操作。

变种结构

变种1:替换密钥附加值

之类变种还有随机数+666、随机数+520、随机数+11223200等有几次版本。

变种2:增强加密密钥生成算法

随机生成字母+数字混合的10位字符串。

变种3:异或加密算法