《王者荣耀》勒索病毒关键技术点分析报告
2017-06-15 来源:渔村安全作者:渔村安全
病毒作者在勒索界面上高度模仿“wannacry”蠕虫病毒
病毒作者在程序界面模仿了前段时间在Windows平台爆发的“wannacry”勒索病毒,号称 “永恒之蓝”安卓版。并且在QQ空间发布视频进行炫耀宣传,以30元一个勒索木马的价格进行出售。
病毒作者录制的宣传炫耀视频
在此,渔村安全团队对该勒索病毒关键技术点进行了分析。
关键技术点分析
1、开启工作线程,遍历SD目录下的文件进行加密,过滤路径中包含android、com.、miad名称的目录,木马病毒加密时会跳过隐藏目录、系统目录、应用目录、广告缓存目录等,重点目标选择为为dcim(相机照片)、download(系统下载)、baidunetdisk(百度网盘)等,病毒为了加快文件加密速度,会选择大小在10kb和50mb之内的文件。
病毒对目标文件大小进行筛选
病毒对目标目录进行筛选
2、病毒加密文件使用的是CBC模式的AES算法,Key为根据系统时间随机值MD5的部分截取,IV初始化向量为字符串"QQqun 5710***** "。因为这个KEY是保存在本地的,所以加密文件是可以被恢复的。
初始化加密密钥的随机种子并保存
病毒使用AES算法加密用户文件
3、超时未向病毒作者支付赎金,病毒会尝试删除加密文件。
病毒尝试删除用户文件
4、病毒作者留下三种勒索支付方式,分别为微信、支付宝和QQ。
病毒作者留下的3种勒索支付二维码
目前,猎豹安全大师已全面支持对该勒索病毒的拦截和查杀。
猎豹安全大师拦截勒索病毒截图
猎豹移动安全专家提醒:
手机勒索病毒一般会伪装成刷钻、点赞、游戏外挂等诱惑型软件,建议大家不要轻易下载并运行。手机安装杀毒软件,可快速识别恶意软件,谨防中招。在日常生活中,建议大家养成定期将重要文件备份的好习惯,以免中招后造成巨大损失。如已中招,也不要接收勒索,可向专业人士或者安全厂商寻求帮助。