Android 用戶小心!勒索軟件假冒《王者榮耀》輔助程式
繼揭發淘寶上出現「高仿版」的WannaCry 勒索程式以10
SLocker 家族基本上是最古老的手機勒索程式之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒在沉寂了多年後,突然在今年五月重出江湖。這次名為「王者荣耀輔助」的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索程式 。
不過,這個 SLocker 變種並沒有肆虐多久。因為,就在該病毒的詳細手法被公開的五天後,一名疑似其作者的黑客即被中國公安逮捕。之後更出現針對該程式的解密工具,加上該程式散布的管道有限(大多經由 QQ 群和 BBS 系統之類的網絡論壇散播),因此受害者數量非常稀少。但要留意的是該程式仍然在繼續推出更多變種。
偽裝成遊戲作弊程式、視訊播放程式
此勒索程式為了引誘用戶安裝,會偽裝成遊戲作弊程式、視訊播放程式等等。在開始安裝時,它的圖示看起來很像一般的遊戲指南,但當程式開始執行之後,就會變更圖示和名稱,被感染的裝置桌布也會跟著被換掉。
此勒索程式會替系統上的「com.android.tencent.zdevs.bah.MainActivity」活動註冊一個別名。然後停用原本的活動,並啟用新宣告的別名以更改其圖示。
勒索程式如何加密檔案 ?
在安裝後,此勒索程式會檢查自己曾否在該裝置執行。如果沒有,就會隨機產生一個數字並儲存到 Shared Preferences 應用程式資料永久儲存區。接下來,它會搜尋外接儲存裝置目錄,然後建立一個新的執行檔。
該執行檔會搜尋外接儲存裝置目錄下所有符合以下條件的檔案:
- 檔案路徑當中不含「/.」、「android」、「com.」及「miad」等字樣。
- 以外接儲存裝置為根目錄,符合條件的檔案必須在三層目錄以內,或者路徑中有「baidunetdisk」、「download」或「dcim」等字樣(大小寫皆可)。
- 檔案名稱當中必須包含「.」字元,且加密後的檔案名稱不能超過 251 個位元組。
- 檔案大小必須超過 10 KB 並小於 50 MB。
勒索程式在加密時刻意略過系統檔案,且主要針對下載的檔案和照片,並且只加密含有副檔名的檔案(文字檔、照片、影片)。當找到符合所有條件的檔案,該執行檔就會透過 ExecutorService(一種讓 Java 執行非同步工作的方式) 來執行一項新工作。
這個新工作會使用一個叫做「getsss」的方法,根據先前產生的隨機數字來製作加密鑰。此方法會算出隨機數字的 MD5 數值,然後從此 MD5 數值的十六進位碼當中取出一個 16 字元字串。接著,病毒再將此字串輸入SecretKeySpec 當中來產生最後的 AES 金鑰,然後用 AES 演算法加密檔案。
檔案在被加密之後會多了一個副檔名,名稱包含一個 QQ 碼和前述用來產生金鑰的隨機數字。
此勒索程式提供了三種支付贖金的方式,而三種方式最後都會出現同
破解方法
勒索程式表示受害者支付贖金之後就會收到解密金鑰。但經過趨勢科技分析,我們發現當受害者輸入金鑰並按下「Decrypt」(解密) 按鈕之後,勒索程式會將輸入的金鑰與程式中 MainActivity.m 變數內的數值做比對。但經過詳細的追蹤,MainActivity.m 內的數值其實就是前述隨機數字再加 520。
以我們手上的樣本為例,其隨機數字是「10049252」。
新的變種
從該程式最早曝光的版本至今,已經有越來越多變種出現。雖然某些變種修改了解密鑰的產生方式,但用戶只要找出新的公式,依然能夠自行解開檔案:
解決方案與建議
相較於之前我們見過的勒索程式,此勒索程式相對單純許多。因此對資訊保安研究人員來說,要透過反向工程找出解密方法並非難事。但在第一個變種出現之後,很快就又冒出許多其他變種,所以,顯然黑客仍在不斷推陳出新。即使已經拘捕嫌犯,也許很快就會再出現進階的變種。
以下提供一些防範勒索程式的秘訣,來協助保障流動裝置資料的安全:
- 僅從合法的應用程式商店(如 Google Play) 下載及安裝應用程式。
- 對於應用程式所要求開放的權限要特別謹慎,尤其是允許應用程式讀寫外接儲存裝置時。
- 定期備份資料,備份到另一個安全的裝置或雲端皆可。
- 安裝一套具備完整防護的資訊保安軟體,可防範來自應用程式商店的威脅,防止這類程式安裝到裝置上,以免危害裝置。
危險程式名單: | ||
SHA256:200d8f98c326fc65f3a11dc5ff1951051c12991cc0996273eeb9b71b27bc294d
應用程式套件:com.android.tencent.zdevs.bah |
||
SHA256:ffd539d462847bebcdff658a83f74ca7f039946bbc6c6247be2fc62dc0e4060
應用程式套件:com.android.tencent.zdevs.bah |
||
SHA256:36f40d5a11d886a2280c57859cd5f22de2d78c87dcdb52ea601089745eeee494
應用程式套件:com.android.tencent.zdevs.bah |
||
SHA256:c347e09b1489c5b8061828526f4ce778fda8ef7fb835255914eb3c9268a265bf
應用程式套件:com.android.tencent.zdevs.bah 應用程式名稱:千变语音秀 |
||
SHA256:cb0a18bcc8a2c9a966d3f585771db8b2e627a7b4427a889191a93b3a1b261ba3
應用程式套件: com.android.tencent.zdevs.bah 應用程式名稱:主流影视大全 |