警惕QQ群里「王者榮耀」外掛 可能是新型勒索病毒偽裝!
關注E安全 關注網路安全一手資訊
E安全8月4日訊,Trend Micro公司的安全研究人員們發現一種新型SLocker變種,它在Android平台上直接套用加密勒索軟體WannaCry的圖形用戶界面。這一新型SLocker移動勒索軟體變種被檢測為ANDROIDOS_SLOCKER.OPSCB,它主要利用中國社交工具QQ應用程序新功能中的持久鎖屏功能。
該惡意文件加密勒索軟體於2017年7月被研究人員發現並分析。SLocker直接套用了WannaCry的圖形用戶設計界面。儘管中國警方已經逮捕了該勒索軟體的創始人,但其他SLocker操作者目前仍然未被逮捕歸案。
受害者主要是從QQ聊天群組當中收取到該移動惡意軟體,且攻擊者專門針對與高人氣遊戲《王者榮耀》相關的群組進行攻擊。該勒索軟體被偽裝成一款遊戲作弊工具,並使用「錢來了」或者「王者榮耀修改器」等名稱。《王者榮耀》目前在中國極受歡迎,日活躍用戶5000萬,擁有約2億註冊用戶,其中1.08億的女性玩家,這個數字已超過阿根廷和加拿大的人口總和。如果玩家不慎安裝該惡意軟體,可能將導致個人重要資料全部丟失,給自身造成重大損失。
SLocker變種的樣本包名為「com.android.admin.hongyan」以及「com.android.admin.huanmie」。其中的「紅顏」與「幻滅」拼音常見於中國青少年人氣小說當中。
圖一:勒索說明截屏內容
圖二:加密文件截屏。其中提到「文件已被幻滅劫持」。
SLocker新變種的其它特性
除了軟體圖形界面之外,新變種中還包含其它一些設計變更。可在惡意勒索軟體運行之後更改設備壁紙,除此以外,這一新型SLocker病毒變體與其前身再無相似之處。與ANDROIDOS_SLOCKER.OPST不同,新版本病毒利用Android集成開發環境(簡稱AIDE)所構建,該程序可用於直接在Android設備上開發Android應用。值得強調的是,AIDE能夠幫助勒索軟體操作人員更為輕鬆地開發簡單Android軟體包(即APK),且極低的入門門檻可以吸引更多新人開發屬於自己的變種版本。
實際上,圖一所示的「ADDING GROUP」文本會將受害者重新定向至某QQ群組,並在這裡溝通贖金支付方式,攻擊者以此謀取暴利。
圖三:QQ群組頁面截圖。
此頁面題為「鎖機幼稚園」,QQ群創建於2017年5月16日。說明宣稱,該群組的主要功能在於教授鎖機技術,且其中的源碼將不斷更新。在頁面下方另有一個按鈕,顯示「申請加群」。
除此之外,另有一段「聯繫我們」文本,其中包含此前其它移動勒索軟體所不具備的勒索聲明。一經點擊,受害者的QQ對話窗口即會彈出,可供其與勒索軟體操作人員通信以討論文件解密事宜。
通過瀏覽該疑似勒索軟體操作人員的QQ個人信息頁面,我們還發現其中提到要解決文件,受害者必須接聽電話並根據對方的指示進行操作。
圖四:受害者與勒索軟體操作人員間的QQ聊天窗口。
另外,此變種還特別用到了非惡意應用程序中的合法證書,旨在避免自身被反病毒廠商列入黑名單。這些證書可以從谷歌的各Android開源項目當中免費下載。另外,其該變種還使用合法的雲存儲服務(bmob),勒索軟體操作人員可利用其變更解密密鑰。
圖五:新變種的打包結構。
SLocke 變種如何加密文件
儘管顯示出更為高級的設計要素,但該變種本身的加密過程並不算特別複雜。雖然該病毒的前身使用HTTP、TOR或XMPP與C&C遠程伺服器進行通信,新變種甚至都未使用任何C&C通信技術。
在執行時,會隨意對SD卡上的所有文件類型進行加密,其中包括緩存、系統日誌以及tmp文件夾等,對於移動用戶相對不太重要的數據。前代版本在加密過程中會排除此類文件,而僅針對微軟Office文檔、視頻以及圖像等更加重要的文件格式。根據樣本來看,該變種似乎使用AES加密演算法與已經過時的DES加密演算法——這再次證明其技術水平相當有限。
圖六:DES加密演算法當中的代碼片段。
持久鎖屏功能
也許是為了彌補對SD卡中所有文件進行加密的小缺陷,該新變種加入了鎖屏以拒絕訪問的功能。如果受害者點擊贖金記錄中的解密按鈕,則會彈出設備管理員界面; 而只要受害者點擊取消按鈕,該病毒將執行持久鎖屏。如果受害者直接點擊激活按鈕,則該變種會設置或重置設備PIN碼以拒絕用戶操作。
圖七:設備管理員UI截屏。
圖八:PIN碼鎖屏截圖。
解決方案與建議
雖然這一變種的SLocker版本的加密過程存在一定程度的缺陷,但其引入的新功能進行持久鎖屏,仍然值得QQ用戶與移動遊戲玩家的高度關注——勒索軟體操作人員的攻擊手段正變得日趨嫻熟。而此新變種迅速的擴散態勢亦表明,其幕後黑手並沒有放緩推進腳步。
以下建議內容能夠防止您的設備受該勒索軟體感染 :
不要輕信軟體誘惑而下載,多數勒索軟體都會偽裝成神器、外掛、輔助及各種刷鑽、刷贊、刷人氣的軟體,沒有任何功能,只為吸引用戶中招;
僅從谷歌Play商店等合法應用商店處下載並安裝應用;
請注意應用程序要求的許可權,特別是允許應用程序在外部存儲上獲取讀取/寫入許可權;
定期備份您的數據——可備份在其它安全設備或者雲端;
安裝全面反病毒解決方案。
感染指標 (簡稱IOCS)
04
E安全推薦文章
官網:www.easyaq.com
2017年8月
01
02
03
04
05
06
07
※美國參議員提出《物聯網網路安全改進法案》規範IoT設備安全標準
※NSA與網路司令部的拆分再生變數
※英國投資1.3億元設立網路安全創新中心
TAG:E安全 |
※新型勒索病毒可盜走銀行卡信息
※勒索病毒不可怕,可信華泰保駕護航
※全面助力勒索軟體病毒防禦 銳捷有話要說
※勒索病毒出現新變種,如何從內到外防禦勒索病毒?
※「獅子」瑞星:對抗勒索病毒防禦才是解決之道
※乙肝病毒攜帶者能生下健康寶寶嗎?醫生告訴你答案
※吃牡蠣要警惕諾如病毒和霍亂弧菌!
※「北京疾控提醒您」如何預防諾如病毒感染?
※劉德華自曝是乙肝病毒攜帶者 為防止傳染給家人他一直這樣生活
※乙肝病毒攜帶者,能生下健康寶寶嗎?
※乙型肝炎是由乙型肝炎病毒造成的可能威脅生命的肝臟感染
※艾滋病病毒「幫凶」再添新「罪證」
※乙肝病毒攜帶者能治好嗎?如何正確養肝護肝?
※什麼是寨卡病毒?要如何防範它?
※海賊王:奎因「疫災」秘密揭曉,研發「疫炎彈」,可無限傳播病毒
※為什麼有人會對於某些東西上癮?成癮可能源於古老的逆轉錄病毒
※什麼?勒索病毒又來!小科幫你保護電腦
※諾如病毒急性胃腸炎防控寶典來襲,別等寶寶生病了再看!
※萌寶總是拉肚子?可能是這種病毒作祟!
※病毒真的可能毀滅人類嗎?