您的位置
主页 > 网站运营 » 正文

勒索病毒冒充“王者荣耀”外挂敲诈20元,“收徒”传播病毒

来源:www.jz265.com 点击:1661

6月4日,雷锋网报道,喜欢玩“杀虫剂”的Android派对非常谨慎。最近,手机勒索软件出现了,冒充流行的手机游戏《王者荣耀》辅助工具,这是一个插件。勒索软件安装在手机中后,会对手机中的照片,下载和云盘中的个人文件进行加密,并要求勒索赎金。

发生了什么?在过去的两天里,雷锋和360安全中心的技术兄弟发现了这件事,保持联系,最后得到了第一个分析。

情况就是这样。 6月2日,有关于儿童鞋的反馈。他只是想用“辅助工具”代替“杀虫剂”(不是说“插件”),然后电话被锁定了,有类似的东西。永恒的蓝色“勒索界面”。

这个孩子的鞋子不会平静,并发出“在线,非常紧急”的帮助。

技术兄弟首先进行了初步分析,发现除了诱人的用户下载和安装外,这款勒索软件还将通过PC和手机的社交平台和游戏群体进行传播。

这个勒索软件的作者可能将“永恒的蓝色”的邪恶影响与极度黑暗的崇拜,使得勒索软件勒索页面成为“永恒蓝色”勒索软件的高仿电脑版本。软件运行后,Android手机用户的桌面壁纸,软件名称和图标将被篡改。手机中的照片,下载和云盘中的文件都是加密的,用户勒索赎金,金额从20元到40元不等。并声称赎金将在3天内支付,价格将翻倍,7天不会支付,所有加密文件将被删除。

纳尼,你努力制作一个Android锁屏病毒,然后敲诈20元到40元?你看不起我们的“Glory Glory”球员吗?

根据上一个DNF玩家要求玩家因为“死房子”而穿着西装直播,国王荣耀的玩家可能会被恰当地说服!

技术兄弟不这么认为,敢于挑起我们做安全研究吗? 20件不适合你!

技术兄弟发起了一轮深入分析,发现该病毒有很多变种。通过生成器选择不同的配置信息,可以对加密算法和密钥生成算法进行随机变化,甚至可以选择生成的病毒样本。整合混乱。由于大量的发电机衍生版本,每个发电机可以随机配置,这大大增加了维修的难度。

当前发现的病毒样本使用AES和XOR加密。恢复的难度在于随机配置信息。面对众多关键随机方法,要找到统一的恢复方法并不容易。

已发现的随机模式计算如下:

1.加密方法:AES,XOR;

2.密钥生成算法:随机数加固定值,随机字符串;

3.密钥使用的固定值在不同版本中是不同的。

不仅找到了勒索软件的“惯例”,技术兄弟也成了一股力量,并找到了“罪魁祸首”。通过对国王荣耀所补充的勒索软件的详细分析,发现作者在病毒开发中常用的QQ号为127 ***** 38,与多位作者的QQ号相关联,作者大小873 ** *** 8早在2016年,病毒发生器就在网上传播。这些病毒生成者用户需要向生成者作者支付一定金额才能获得使用权。

该病毒作者声称这是“永恒蓝”Android版本,并在自己的QQ空间内尖叫宣传(目前已删除)。

技术兄弟甚至找到了关于作者的其他个人信息,所以你无法逃避。

言归正传,我找到了作者和病毒变种,技术兄弟也咬牙切齿,分析了赎金病毒的传播途径和工具。我不知道会发生什么。该通信生产工具实际上采用类似于“接收人”的通信方法。

1.病毒作者使病毒生成器使用或授权他人使用;

2.通过QQ群,QQ空间制作教程,或上传教学视频通讯;

3.作者的学徒修改了病毒生成器并使用它或授权其他人使用它。

好像要阅读很多传销组织,你将肩负太阳并肩并肩。

勒索软件的传播主要是通过伪装当前比较热门的软件,诱使用户下载,如王者的荣耀,王者的荣耀等工具。是的,不仅要照顾“插件”的需求,还要看“美化”的需求。

作者出来了,你说你是一名高级“杀虫剂”球员?

我们来看几个沟通渠道:

在静态分析病毒期间,我们发现了疑似病毒作者的QQ号码。通过相关性分析,我们早在2016年就找到了病毒编写者并开始传播病毒生成器。

病毒作者通过QQ群发布病毒生产教程,并以10元和20元的价格出售发电机。您不仅使用生成器生成勒索软件,而且还通过QQ群通信离线开发。目前,有数百个病毒发生器,其背后有不止一个团伙。

这些病毒生成器有多种形式,但它们的代码可用于查看与原作者的直接联系。

最近,作者在网上发布了测试视频以供传播。https://v.qq.com/x/page/i05086gw4a5.html。

令人惊讶的是,作为雷锋网(公众号:雷锋)的网络安全频道的读者,你可能是一个技术控制,所以让我们来看看技术兄弟的病毒的详细分析。致力于。

勒索软件运行后,它将首先在[10000000,19999999]间隔内生成一个8位随机数。

1.加密条目

首次进入软件时启动加密线程,否则主页将被勒索页面替换

2,文件遍历

遍历根目录/storage/emulated/0 /中的所有文件,路径包含android,com。miad目录;如果路径包含下载(系统下载),dcim(摄像头照片),baidunetdisk(百度云盘),则目录中的所有文件都被加密。病毒只用“。”加密10kb到50mb之间的文件。在文件名中。

3.加密逻辑

调用getsss()以生成AES加密/解密密钥。

调用AES算法加密文件。

加密成功后,文件将重命名,重命名:原始文件名+。不要卸载软件解密加上QQ3135078046bahk +随机数。

4.文件删除操作

在指定时间内未支付赎金后,勒索软件将删除加密文件。

变体功能

变式1:替换键添加值

类似的变体包括随机数+666,随机数+520,随机数+ 1122330等。

变式2:增强的加密密钥生成算法

随机生成一个10位数的字母数字字符串。

变式3:XOR加密算法

本文参考:360安全中心对赎金病毒的分析,最初名为《Android版“永恒之蓝”全揭秘》。

雷锋网原创文章,禁止擅自复制。有关详细信息,请参阅重印说明。