趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。
SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。
偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟
受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者。
病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。
SLocker 中文簡體字勒索訊息自問自答寫著:
- 發生了什麼?
》你的文件被我加密了,解密的話帯好錢來聯繫我喔! - 除了付款有其破解方法嗎?
》幾乎是沒有的,除非找我付款解密
先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…
還要受害者注意語氣,沒錢不要來騷擾
新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇
除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。
事實上,勒索信底部的“ADDING GROUP”會將受害者導向一個討論製作勒索病毒賺錢的QQ論壇。
“鎖機幼稚園“ QQ群組提供鎖機基礎教學
網頁標題為“鎖機幼稚園“,建立於2017年5月16日。說明聲稱該群組的主要功能是教導和討論如何鎖住手機,並且會不斷更新程式原始碼。在網頁底部有申請加入群組的按鈕。
除此之外,勒索信中還有另一句“CONTACT US“,這在之前的版本中沒有。點擊後會跳出QQ聊天視窗,應該是為了讓勒索病毒操作者跟受害者講解如何解密檔案。
這勒索病毒操作者的QQ個人資料是份文字說明,要求受害者必須按照一位身份不明人士來電時所提供的指示行事才能解密檔案。
圖4、受害者和勒索操作者間的QQ聊天視窗
使用合法雲端儲存服務(bmob),可變更解密金鑰
此外,它使用合法雲端儲存服務(bmob),讓勒索病毒操作者可以變更解密金鑰。
圖5、新變種的封裝結構
SLocker變種如何加密檔案?
儘管SLocker的變種看似更加先進,但這變種所使用的加密程序並不高明。雖然它的前身會使用HTTP、TOR或XMPP來連線C&C遠端伺服器,但此變種甚至沒有使用任何C&C通訊技術。
一旦執行,它會粗糙地加密SD卡上所有的檔案類型,包括快取、系統日誌和tmp檔,這些對行動用戶來說比較不重要的檔案。之前的版本會在加密過程中排除上述檔案,只選擇如Microsoft Office文件及影片和圖檔等重要檔案格式。根據此樣本分析,它似乎使用了AES加密演算法跟過時的DES加密演算法,這是它另一個不大高明的地方。
圖6、顯示DES加密演算法的程式碼片段
手機螢幕被鎖住動彈不得
或許是為了彌補在SD卡加密所有檔案類型的小缺陷,它加強了鎖住畫面的能力。如果受害者點擊勒索信的解密按鈕,會出現設備管理員的使用者界面,並且在使用者點擊取消按鈕時持續劫持螢幕。如果受害者點擊啟用按鈕,該變種會設定或重設設備密碼,同時也封鎖住螢幕。
圖7、設備管理員介面截圖
圖8、密碼輸入截圖
趨勢科技 PC-cillin 雲端版 跨平台保護多種設備,主動對抗勒索病毒
SLocker的新功能也提醒了QQ用戶和手機玩家要小心勒索病毒操作者日益先進的攻擊手法。新變種的日益氾濫顯示出惡意份子並沒有放慢腳步。
下面是如何防止勒索病毒感染你行動設備的建議:
- 只安裝來自合法應用程式商店(如Google Play)的應用程式
- 小心注意應用程式所要求的權限,尤其是要求應用程式讀寫外部儲存裝置
- 定期備份資料,可以放在安全的設備上或雲端儲存
- 安裝全面性的防毒解決方案。行動安全解決方案(如趨勢科技的行動安全防護)可以阻止來自應用程式商店的惡意威脅,在它們對設備造成傷害前封鎖其安裝,同時趨勢科技的趨勢科技 PC-cillin雲端版 深入可以針對多種設備深入保護,主動地防護對抗勒索病毒威脅。在趨勢科技舉辦的”票選爸爸最需要的防毒軟體功能”投票結果中,網友最推薦 PC-cillin2017的【勒索剋星】,因為它能保護指定資料夾內的檔案不受勒索病毒的攻擊,這樣爸爸就不怕珍貴的照片被綁架了 !PC-cillin 2017 雲端版的「勒索病毒 3+1 多重防護」為你主動偵測並封鎖勒索病毒來源的網頁、電郵或社群網站上分享的網址,並即時偵測勒索病毒的加密行為,甚至還能預先設置好重要資料保護的資料夾,完全封鎖勒索病毒的惡質行為!延伸閱讀》 預防下一波勒索病毒攻擊, 3 步驟即刻啟動 PC-cillin 2017 「勒索剋星 」給檔案最嚴密防護!
入侵指標(IOC)
哈希值(SHA256) | 套件 | 應用程式名稱 |
5212B6A8DD17CCFC60F671C82F45F4885E0ABCC354DA3D007746599F10340774 | com.android.admin.hongyan | TyProxy |
6E5BBEDCE0F2CFFCADF0397282861B8694AD9111FE566DA934FC11EE25827F03 | com.android.admin.hongyan | TyProxy |
16C497C382492C0132D581A4ECE0EF0AB6C8BA7B265A9D7B0F6D47D9871D5E06 | com.android.admin.hongyan | TyProxy |
FCC08F87BF7818DA1C8DC794CAD9EF840B65384DAB5F6610334632163E867113 | com.android.admin.hongyan | TyProxy |
B16A904AF7EBEB3B3A9C8FEF342C60EAB83DFA6867ACDBAA6F55C1F06B974123 | com.android.admin.hongyan | TyProxy |
5BFF2298944632CC50A17F88EA59ACF64E6093F2A4B4CBA6841B38EDE0F26C3D | com.android.admin.hongyan | TyProxy |
CDE39A1338905B1C0D5A899378C9428A48D6CA01CB55396C03268DA939D3DD4A | com.android.admin.hongyan | TyProxy |
DE990C12617F7CD01E2B810BC33AF4AE43B6E7C43430F7039252AC93416D5223 | com.android.admin.hongyan | 永恒之蓝-挽安! |
53136F6CEA9C04CF139C42A0F9B863C87BB1A3114010C324106D85A401FD8CAF | com.android.admin.hongyan | 安卓王者荣耀修改器 |
1ED647CB7A0F145D2E84FDFC7ADC2E865C312DBE574C4AB4298173EC7E9FCAB5 | com.android.admin.hongyan | 安卓王者荣耀修改器 |
026733EB26FF09111CE389B56EAF431271812DFE28B426CB171C722EB41D62D7 | com.android.admin.hongyan | 黑客攻防工具箱 |
8FFF1BF0BFA618B6350DA5D99A620C21BD6F88A8711469575AA449A947CF6E96 | com.android.admin.hongyan | 钱来了! |
645E969D314FE3813B268EFC3270366BFF0023D73F5A5E205761815BF7F51285 | com.android.admin.hongyan | 王者荣耀美化器 |
6FB373890F4CD54F7A5E3BCFB6F592D7703504238EA8E3AAF5FB8B6D6A4B2FE8 | com.android.admin.hongyan | qb提取器 |
8A5102D2A3CE616FA60C165A4548A85D202625B924C8E5627BFE9759E7FFF735 | com.android.admin.hongyan | 钱来了! |
FDAC14D2871293E3B38984F4833C8113E46673748B86625728363B1DF9F83517 | com.android.admin.hongyan | TyProxy移动版 |
DECB041278048C001142232AE9374D86489A011AF922D2F1803EAEBE690DACA0 | com.android.admin.hongyan | 鸢与锁机生成器 |
BC0B9BCADDCE6EF5A0BAB3BA1B278DE110E00F8F8A1CF1C64E782740B0BC2F6D | com.android.admin.huanmie | 钱来了! |
D835CF9D88EABC8508F130745FA786385FD7C2CC9C5F29B2DA5E6C2DC8372FA6 | com.android.admin.huanmie | 钱来了! |
1C8A5045044DBF30C0781AC67263019CA0C8BF7562952821D7F5F54B9D6B74A8 | com.android.admin.huanmie | 钱来了! |
AE3F772B12D4C97B4377DFADFE01528411811D22F8708A2B33A10494461EC2E4 | com.android | TyProxy |
@原文出處:New WannaCry-Mimicking SLocker Abuses QQ Services 作者:Lorin Wu(行動威脅分析師)
AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。