“你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

 

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

  • 發生了什麼?
    》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
  • 除了付款有其破解方法嗎?
    》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密
SLocker 中文簡體字勒索訊息

 

加密檔案螢幕截圖
加密檔案螢幕截圖

 

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。

事實上,勒索信底部的“ADDING GROUP”會將受害者導向一個討論製作勒索病毒賺錢的QQ論壇。

 

“鎖機幼稚園“ QQ群組提供鎖機基礎教學

QQ群組截圖
QQ群組截圖

 

 

網頁標題為“鎖機幼稚園“,建立於2017年5月16日。說明聲稱該群組的主要功能是教導和討論如何鎖住手機,並且會不斷更新程式原始碼。在網頁底部有申請加入群組的按鈕。

除此之外,勒索信中還有另一句“CONTACT US“,這在之前的版本中沒有。點擊後會跳出QQ聊天視窗,應該是為了讓勒索病毒操作者跟受害者講解如何解密檔案。

這勒索病毒操作者的QQ個人資料是份文字說明,要求受害者必須按照一位身份不明人士來電時所提供的指示行事才能解密檔案。

Figure 4

圖4、受害者和勒索操作者間的QQ聊天視窗

 

使用合法雲端儲存服務(bmob),可變更解密金鑰

此外,它使用合法雲端儲存服務(bmob),讓勒索病毒操作者可以變更解密金鑰。

Figure 5

圖5、新變種的封裝結構

 

SLocker變種如何加密檔案?

儘管SLocker的變種看似更加先進,但這變種所使用的加密程序並不高明。雖然它的前身會使用HTTP、TOR或XMPP來連線C&C遠端伺服器,但此變種甚至沒有使用任何C&C通訊技術。

一旦執行,它會粗糙地加密SD卡上所有的檔案類型,包括快取、系統日誌和tmp檔,這些對行動用戶來說比較不重要的檔案。之前的版本會在加密過程中排除上述檔案,只選擇如Microsoft Office文件及影片和圖檔等重要檔案格式。根據此樣本分析,它似乎使用了AES加密演算法跟過時的DES加密演算法,這是它另一個不大高明的地方。

Figure 6

圖6、顯示DES加密演算法的程式碼片段

 

手機螢幕被鎖住動彈不得

或許是為了彌補在SD卡加密所有檔案類型的小缺陷,它加強了鎖住畫面的能力。如果受害者點擊勒索信的解密按鈕,會出現設備管理員的使用者界面,並且在使用者點擊取消按鈕時持續劫持螢幕。如果受害者點擊啟用按鈕,該變種會設定或重設設備密碼,同時也封鎖住螢幕。

Figure 7

圖7、設備管理員介面截圖

Figure 8

圖8、密碼輸入截圖

 

趨勢科技 PC-cillin 雲端版 跨平台保護多種設備,主動對抗勒索病毒

SLocker的新功能也提醒了QQ用戶和手機玩家要小心勒索病毒操作者日益先進的攻擊手法。新變種的日益氾濫顯示出惡意份子並沒有放慢腳步。

下面是如何防止勒索病毒感染你行動設備的建議:

  • 只安裝來自合法應用程式商店(如Google Play)的應用程式
  • 小心注意應用程式所要求的權限,尤其是要求應用程式讀寫外部儲存裝置
  • 定期備份資料,可以放在安全的設備上或雲端儲存
  • 安裝全面性的防毒解決方案。行動安全解決方案(如趨勢科技的行動安全防護)可以阻止來自應用程式商店的惡意威脅,在它們對設備造成傷害前封鎖其安裝,同時趨勢科技的趨勢科技 PC-cillin雲端版 深入可以針對多種設備深入保護,主動地防護對抗勒索病毒威脅。在趨勢科技舉辦的”票選爸爸最需要的防毒軟體功能”投票結果中,網友最推薦 PC-cillin2017的【勒索剋星】,因為它能保護指定資料夾內的檔案不受勒索病毒的攻擊,這樣爸爸就不怕珍貴的照片被綁架了 !PC-cillin 2017 雲端版的「勒索病毒 3+1 多重防護」為你主動偵測並封鎖勒索病毒來源的網頁、電郵或社群網站上分享的網址,並即時偵測勒索病毒的加密行為,甚至還能預先設置好重要資料保護的資料夾,完全封鎖勒索病毒的惡質行為!延伸閱讀》 預防下一波勒索病毒攻擊, 3 步驟即刻啟動 PC-cillin 2017 「勒索剋星 」給檔案最嚴密防護!

預防下一波勒索病毒攻擊! PC-cillin 2017 「勒索剋星」給檔案最嚴密防護

入侵指標(IOC

哈希值(SHA256) 套件 應用程式名稱
5212B6A8DD17CCFC60F671C82F45F4885E0ABCC354DA3D007746599F10340774 com.android.admin.hongyan TyProxy
6E5BBEDCE0F2CFFCADF0397282861B8694AD9111FE566DA934FC11EE25827F03 com.android.admin.hongyan TyProxy
16C497C382492C0132D581A4ECE0EF0AB6C8BA7B265A9D7B0F6D47D9871D5E06 com.android.admin.hongyan TyProxy
FCC08F87BF7818DA1C8DC794CAD9EF840B65384DAB5F6610334632163E867113 com.android.admin.hongyan TyProxy
B16A904AF7EBEB3B3A9C8FEF342C60EAB83DFA6867ACDBAA6F55C1F06B974123 com.android.admin.hongyan TyProxy
5BFF2298944632CC50A17F88EA59ACF64E6093F2A4B4CBA6841B38EDE0F26C3D com.android.admin.hongyan TyProxy
CDE39A1338905B1C0D5A899378C9428A48D6CA01CB55396C03268DA939D3DD4A com.android.admin.hongyan TyProxy
DE990C12617F7CD01E2B810BC33AF4AE43B6E7C43430F7039252AC93416D5223 com.android.admin.hongyan 永恒之蓝-挽安!
53136F6CEA9C04CF139C42A0F9B863C87BB1A3114010C324106D85A401FD8CAF com.android.admin.hongyan 安卓王者荣耀修改器
1ED647CB7A0F145D2E84FDFC7ADC2E865C312DBE574C4AB4298173EC7E9FCAB5 com.android.admin.hongyan 安卓王者荣耀修改器
026733EB26FF09111CE389B56EAF431271812DFE28B426CB171C722EB41D62D7 com.android.admin.hongyan 黑客攻防工具箱
8FFF1BF0BFA618B6350DA5D99A620C21BD6F88A8711469575AA449A947CF6E96 com.android.admin.hongyan 钱来了!
645E969D314FE3813B268EFC3270366BFF0023D73F5A5E205761815BF7F51285 com.android.admin.hongyan 王者荣耀美化器
6FB373890F4CD54F7A5E3BCFB6F592D7703504238EA8E3AAF5FB8B6D6A4B2FE8 com.android.admin.hongyan qb提取器
8A5102D2A3CE616FA60C165A4548A85D202625B924C8E5627BFE9759E7FFF735 com.android.admin.hongyan 钱来了!
FDAC14D2871293E3B38984F4833C8113E46673748B86625728363B1DF9F83517 com.android.admin.hongyan TyProxy移动版
DECB041278048C001142232AE9374D86489A011AF922D2F1803EAEBE690DACA0 com.android.admin.hongyan 鸢与锁机生成器
BC0B9BCADDCE6EF5A0BAB3BA1B278DE110E00F8F8A1CF1C64E782740B0BC2F6D com.android.admin.huanmie 钱来了!
D835CF9D88EABC8508F130745FA786385FD7C2CC9C5F29B2DA5E6C2DC8372FA6 com.android.admin.huanmie 钱来了!
1C8A5045044DBF30C0781AC67263019CA0C8BF7562952821D7F5F54B9D6B74A8 com.android.admin.huanmie 钱来了!
AE3F772B12D4C97B4377DFADFE01528411811D22F8708A2B33A10494461EC2E4 com.android TyProxy

 

@原文出處:New WannaCry-Mimicking SLocker Abuses QQ Services 作者:Lorin Wu(行動威脅分析師)

 

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數