不久前趋势科技发现了一款恶意软件:假设用户不给“赎金”,病毒就会让手机变成“板砖”。而近期出现的新勒索软件则会利用TOR(The Onion Router)匿名服务来隐藏C&C通讯。
依据趋势科技侦測的AndroidOS_Locker.HBT样本分析,我们发现这款恶意软件会出现画面通知用户设备已经被锁住,须要支付1000卢布的赎金来解锁。这个画面还显示:假设用户拒绝支付,那么手机上的全部数据将会被破坏。
我们所看到会出现这些行为的应用程序样本出如今了第三方应用程序商店,盗用名称都有:Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用这些名称的非恶意版本号软件能够从各种不同应用程序商店下载。
(图一、给用户的警告信息,使用的是俄文)
上图警告信息的粗略翻译为:
“由于下载和安装软件nelitsenzionnnogo,你的手机已经按照俄罗斯联邦军事准则民法第1252条加以锁住。要解锁你的手机需支付1000卢布。 你有48小时的时间支付,否则你手机上的全部数据将永久被破坏!
1、找到近期的QIWI终端支付系统
2.使用该终端机器,并选择补充QIWI VISA WALLET
3.输入号码79660624806,然后按下一步
4.会出现留言窗体:输入你的号码去掉7ki
5.将钱放入终端机,然后按支付
6.收到付款后的24小时内,你的手机将会被解锁。
7.你能够透过行动商店和Messenger Euronetwork支付
注意:试图自己解开手机会导致手机全然被锁住,全部消失的数据将没有机会恢复。”
使用者被要求在48小时内用QIWI付款给账户79660624806/79151611239/79295382310,或用Monexy付款给账户380982049193。
这画面会持续地出现,不让用户去使用他们的手机。同一时间,格式为:Jpeg、jpg、png、Bmp、gif、pdf、doc、docx、txt、avi、mkv、3gp、mp4 的文件也都会被加密。
勒索软件Ransomware会通过TOR控制server的通讯设备。尽管这并非趋势科技第一次看到Android恶意软件利用TOR,但却是趋势科技所看到第一个利用TOR的勒索软件。想到用户如今储存在手机上的数据量,趋势科技预估类似Ransomware的手机勒索软件还会不停地发展。
对于感染此勒索软件的用户,可通过Android Debug Bridge来手动移除这款恶意应用程序。adb是Android SDK的一部分,能够从Android站点免费下载。步骤例如以下:
1.安装Android SDK到电脑上,包含adb组件
2.通过USB将受感染手机连接到电脑
3.在命令行运行:adb uninstall“org.simplelocker” 指令
这些步骤对于Android版本号低于4.2.2的手机来说并没有问题。但对4.2.2及之后版本号的用户来说有一个问题:手机会跳出对话框来提示用户按键已同意除去错误。然而,勒索软件Ransomware本身的接口会将当中断,使得手机非常难使用adb来进行移除。
并且须要注意的是,在这些案例中,用户必须在自己手机被感染前就启用USB去除错误;但是要这么做非常困难,由于这些步骤在不同手机上可能都不一样。此外,启用USB去除错误本身就存在安全风险,由于这意味着假设攻击者能够拿到手机,就能够轻易地从中取得用户信息,而不必在Android锁定画面输入数据。
上述步骤能够删除勒索软件Ransomware,却无法恢复被锁住的文件。我们建议用户使用备份来恢复文件,无论是在线或脱机备份。
(图二、此次攻击所用的样本SHA1哈希值分析)
了解趋势科技,请点击链接:http://www.trendmicro.com.cn/cn/