详询客服
×

售前电话 186 7086 0265

售后电话 186 7086 0265

客服邮箱 contactus@mingting.cn

我知道了

《王者荣耀》勒索病毒关键技术点分析报告

2017-06-15 来源:渔村安全作者:渔村安全

近日,网络上出现一批伪装成“王者荣耀”外挂、“千变语音秀”等应用的手机勒索病毒。该病毒会诱骗用户安装,安装运行后病毒会加密手机SD卡里的照片、下载文件、云盘等目录下文件,还会篡改用户桌面背景等。病毒会向用户勒索20~40人民币不等的解密赎金,并宣称3天内不交赎金则价格将翻倍,7天后将删除所有加密文件。

                                     

                                      病毒作者在勒索界面上高度模仿“wannacry”蠕虫病毒



    病毒作者在程序界面模仿了前段时间在Windows平台爆发的“wannacry”勒索病毒,号称 “永恒之蓝”安卓版。并且在QQ空间发布视频进行炫耀宣传,以30元一个勒索木马的价格进行出售。

病毒作者录制的宣传炫耀视频


       在此,渔村安全团队对该勒索病毒关键技术点进行了分析。



关键技术点分析


1、开启工作线程,遍历SD目录下的文件进行加密,过滤路径中包含android、com.、miad名称的目录,木马病毒加密时会跳过隐藏目录、系统目录、应用目录、广告缓存目录等,重点目标选择为为dcim(相机照片)、download(系统下载)、baidunetdisk(百度网盘)等,病毒为了加快文件加密速度,会选择大小在10kb和50mb之内的文件。

病毒对目标文件大小进行筛选



病毒对目标目录进行筛选



2、病毒加密文件使用的是CBC模式的AES算法,Key为根据系统时间随机值MD5的部分截取,IV初始化向量为字符串"QQqun 5710***** "。因为这个KEY是保存在本地的,所以加密文件是可以被恢复的。

初始化加密密钥的随机种子并保存



病毒使用AES算法加密用户文件



3、超时未向病毒作者支付赎金,病毒会尝试删除加密文件。

病毒尝试删除用户文件



4、病毒作者留下三种勒索支付方式,分别为微信、支付宝和QQ。

8


病毒作者留下的3种勒索支付二维码



目前,猎豹安全大师已全面支持对该勒索病毒的拦截和查杀。
                                                   

                                                              猎豹安全大师拦截勒索病毒截图



猎豹移动安全专家提醒:

    手机勒索病毒一般会伪装成刷钻、点赞、游戏外挂等诱惑型软件,建议大家不要轻易下载并运行。手机安装杀毒软件,可快速识别恶意软件,谨防中招。在日常生活中,建议大家养成定期将重要文件备份的好习惯,以免中招后造成巨大损失。如已中招,也不要接收勒索,可向专业人士或者安全厂商寻求帮助。

QQ图片20170310085531