“48小時內支付贖金,否則你手機上的所有資料將永久被破壞!”又一手機勒索軟體現身

Android勒索軟體利用Tor隱藏C&C通訊

不久前我們介紹過不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶,最近出現在行動威脅環境的勒索軟體現在有了新發展:利用TOR(The Onion Router)匿名服務來隱藏C&C通訊。

根據趨勢科技偵測為AndroidOS_Locker.HBT的樣本分析,我們發現這惡意軟體會出現畫面通知使用者設備已經被鎖住,需要支付1000盧布的贖金來解鎖。該畫面還指出,不支付將會導致在行動設備上的所有資料被破壞。

我們所看到會出現這些行為的應用程式樣本出現第三方應用程式商店,盜用名稱像是Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本應用程式可以從各種不同應用程式商店下載。

底下是顯示給使用者的警告訊息,使用的是俄文:

圖一、給使用者的警告訊息(點擊放大)

 

下面是警告訊息的粗略翻譯:

因為下載和安裝軟體nelitsenzionnnogo,你的手機已經依照俄羅斯聯邦軍事準則民法第1252條加以鎖住。 

要解鎖你的手機需支付1000盧布。 

你有48小時的時間支付,否則你手機上的所有資料將永久被破壞!

 

1.      找到最近的QIWI終端支付系統

 2.      使用該終端機器,並選擇補充QIWI VISA WALLET

 3.      輸入號碼79660624806,然後按下一步

 4.      會出現留言視窗 輸入你的號碼去掉7ki 

5.      將錢放入終端機,然後按支付 

6.      收到付款後的24小時,你的手機將會被解鎖。 

7.      你可以透過行動商店和Messenger Euronetwork支付

 注意:試圖自己解開手機會導致手機完全被鎖住,所有消失的資料沒有機會回復。

使用者被要求在48小時內用QIWI付款給帳戶79660624806/79151611239/79295382310,或用Monexy付款給帳戶380982049193。這畫面會持續地出現,不讓使用者去使用他們的設備。同一時間,設備內下列格式的檔案(不管在本地或外部儲存裝置)會被加密:

 

  • jpeg
  • jpg
  • png
  • bmp
  • gif
  • pdf
  • doc
  • docx
  • txt
  • avi
  • mkv
  • 3gp
  • mp4

 

雖然上述行為是典型的勒索軟體 Ransomware,我們發現它會透過TOR和其指揮與控制伺服器通訊。雖然這並非我們第一次看到Android惡意軟體利用Tor,但卻是我們所看到第一個利用它的勒索軟體。想到使用者現在儲存在其行動設備上的資料量,我們預估這類行動勒索軟體 Ransomware還會不停地發展,現在僅僅只是個開始。

 

如何移除這勒索軟體?

對於感染此勒索軟體的使用者,可透過Android Debug Bridge來手動移除這惡意應用程式。adb是Android SDK的一部分,可以從Android網站免費下載。過程如下:

  1. 安裝Android SDK到電腦上,包括adb元件。
  2. 透過USB將受影響設備連接到電腦。
  3. 在命令行執行以下指令:

adb uninstall org.simplelocker

這些步驟對於Android版本低於4.2.2的設備來說並沒有問題。但對4.2.2及之後版本的使用者來說有一個問題:手機會跳出對話框來提示使用者按鍵以允許除錯。然而,勒索軟體 Ransomware本身的介面會將其中斷,使得手機很難使用adb來進行移除。

而且要注意,在這些案例中,使用者必須在自己設備被感染前就啟用USB除錯;要這麼做可能有困難,因為該步驟在不同設備上可能都不一樣。此外,啟用USB除錯本身就存在安全風險,因為這意味著攻擊者如果實際上可以拿到手機,就可以輕易地從中取得檔案,而不必在Android鎖定畫面輸入資料。

上述步驟可以刪除勒索軟體 Ransomware,但無法恢復被鎖住的檔案。要恢復檔案很困難,就跟一般電腦上的勒索軟體 Ransomware一樣。我們建議使用者使用備份來恢復檔案,不管是在線或離線備份。

分析此次攻擊所用的樣本SHA1雜湊值如下:

 

  • 3313e82160fe574b4d4d83ec157d96980c0e88c4
  • 4824c957b7804d27c56002c93496182c8ec2840d
  • 5a102f0e6238418d8c73173752e20a5914ec4958
  • 725e9553040845d4b7ad2b0fd806597666d61605
  • 808df267f38e095492ebd8aeb4b56671061b2f72
  • 979020806f6fcb8a46a03bb4a4dcefcf26fa6e4c
  • b4bc70e7f046894ef12b5836f70b0318ca7ad06f
  • b5aab4bdb6bbb5914b1860c47080ccb558f07e5b
  • c85e49e0e99c2c0e531f723bf14d84339919985d
  • e6ee6dac2e6bd97c93a6a746442bfc0930e637af

 

@原文出處:Android Ransomware Uses TOR作者:Weichao Sun(行動威脅分析師)

FB_banner0331-2