置顶勒索病毒是指具有系统破坏及流氓行为,启动后强制将自身界面置于设备屏幕上方或者修改用户设备的锁屏密码,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。
一.置顶勒索加密变种对抗时间轴:
置顶勒索软件加密对抗版本更新十分频繁花式多样,增加检测难度
二.病毒特点:
* 该程序自身携带恶意子包,启动后,诱骗用户开启ROOT权限,释放自身代码至系统路径,导致无法正常卸载
* 该程序在无法获取ROOT权限时,诱骗用户激活设备管理器
* 该程序采用多重锁屏、频繁重置PIN码的方式对用户手机屏幕进行锁屏
三.置顶勒索病毒云查用户感染趋势:
四.置顶勒索伪装类别分布:
置顶勒索软件通常会伪装成各种极具诱惑力的软件,例如色情播放器、会员账号类、游戏外挂、WIFI密码破解等
五.置顶勒索加密对抗技术点:
5.1 代码中出现使用汉字字符作为加密关键字
5.2 使用Base64加密算法代码
5.3 使用DES加密算法代码
5.4 在代码中检测是否含有**目录,才会安装病毒文件
5.5 代码中出现使用日语字符作为加密关键字
5.6 使用HTTP网络下载病毒子包
5.7 弹窗提示输入数字,下载病毒子包
5.8 使用加固方案并且对AndroidManifest.xml文件做特殊处理
六.置顶勒索详情分析:
病毒执行流程:
代码分析:
6.1 启动病毒激活设备管理器,阻止用户正常卸载
6.2 当用户点击激活后,读取pin.txt文件中字符串并进行解密,设置解密出来字符串为PIN码,即为锁屏密码
6.3 读取pin.txt文件中的字符串
6.4 pin.txt存放的字符串进行解密操作,使用Base64解密算法进行解密
6.5 通过addView方法加载一个悬浮窗,设置WindowManager.LayoutParams的flags属性为某些固定值,配合SYSTEM_ALERT_WINDOW的权限,使这个悬浮窗全屏置顶且无法清除
6.6 当手机被锁屏置顶后,用户无法在操作手机。黑客会在置顶窗口上显示黑客的联系方式或转账二维码,以此来勒索用户,像用户索要金钱,以达到谋取不正当利益的目的。当用户支付后,用拿到密码来解锁手机的锁屏置顶行为在悬浮窗上显示密码的输入框和黑客的联系方式
6.7 通过输入的密码与存储在本地的密码进行比较,当密码一致时,解除手机的锁屏置顶
七.清理方案:
无ROOT权限清除方案:
*使用adb命令行 “am force-stop 包名”可以强制关闭应用
*进入安全模式清除勒索软件
需要ROOT权限清除方案:
*对于pin码锁和系统密码锁,可以在adb命令行中进入su模式,删除手机中的密码文件”rm /data/system/password.key”
*若以上方法均无法解决,则可以通过刷机恢复
八.安全建议
(1) 谨慎下载安装各类破解以及盗版应用,如破解的游戏等
(2) 建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性
(3) 安装使用手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装
*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM