• :
  • 《王者荣耀》勒索病毒关键技术点分析报告-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [安全贴士] 《王者荣耀》勒索病毒关键技术点分析报告

    [复制链接]

    该用户从未签到

    发表于 2017-6-15 17:17:29 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
        近日,网络上出现一批伪装成“王者荣耀”外挂、“千变语音秀”等应用的手机勒索病毒。该病毒会诱骗用户安装,安装运行后病毒会加密手机SD卡里的照片、下载文件、云盘等目录下文件,还会篡改用户桌面背景等。病毒会向用户勒索20~40人民币不等的解密赎金,并宣称3天内不交赎金则价格将翻倍,7天后将删除所有加密文件。
    1_副本.jpg
    病毒作者在勒索界面上高度模仿“wannacry”蠕虫病毒

        病毒作者在程序界面模仿了前段时间在Windows平台爆发的“wannacry”勒索病毒,号称 “永恒之蓝”安卓版。并且在QQ空间发布视频进行炫耀宣传,以30元一个勒索木马的价格进行出售。
    2.jpg
    病毒作者录制的宣传炫耀视频

       
        在此,渔村安全团队对该勒索病毒关键技术点进行了分析。


    关键技术点分析

    1、开启工作线程,遍历SD目录下的文件进行加密,过滤路径中包含android、com.、miad名称的目录,木马病毒加密时会跳过隐藏目录、系统目录、应用目录、广告缓存目录等,重点目标选择为为dcim(相机照片)、download(系统下载)、baidunetdisk(百度网盘)等,病毒为了加快文件加密速度,会选择大小在10kb和50mb之内的文件。
    3.png
    病毒对目标文件大小进行筛选

    4.png
    病毒对目标目录进行筛选

    2、病毒加密文件使用的是CBC模式的AES算法,Key为根据系统时间随机值MD5的部分截取,IV初始化向量为字符串"QQqun 5710***** "。因为这个KEY是保存在本地的,所以加密文件是可以被恢复的。
    5.png
    初始化加密密钥的随机种子并保存

    6.jpg
    病毒使用AES算法加密用户文件


    3、超时未向病毒作者支付赎金,病毒会尝试删除加密文件。
    7.jpg
    病毒尝试删除用户文件

    4、病毒作者留下三种勒索支付方式,分别为微信、支付宝和QQ。
    8.jpg
    病毒作者留下的3种勒索支付二维码

    目前,猎豹安全大师已全面支持对该勒索病毒的拦截和查杀。

    2017061501_副本.png
    猎豹安全大师拦截勒索病毒截图


    猎豹移动安全专家提醒:

        手机勒索病毒一般会伪装成刷钻、点赞、游戏外挂等诱惑型软件,建议大家不要轻易下载并运行。手机安装杀毒软件,可快速识别恶意软件,谨防中招。在日常生活中,建议大家养成定期将重要文件备份的好习惯,以免中招后造成巨大损失。如已中招,也不要接收勒索,可向专业人士或者安全厂商寻求帮助。

    QQ图片20170310085531_副本.jpg




    使用道具 举报 回复
    发表于 2017-6-16 07:39:03 只看该作者
    中国还是盗版厉害啊,可惜这垃圾病毒根本比不上永恒之蓝。别忘了Android4.4+访问sdcard会被限制~
    使用道具 举报 回复 支持 反对
    近日,网络上出现一批伪装成“王者荣耀”外挂、“千变语音秀”等应用的手机勒索病毒。该病毒会诱骗用户安装,安装运行后病毒会加密手机SD卡里的照片、下载文件、云盘等目录下文件,还会篡改用户桌面背景等。
    使用道具 举报 回复 支持 反对
    移动安全专家提醒:手机勒索病毒一般会伪装成刷钻、点赞、游戏外挂等诱惑型软件,建议大家不要轻易下载并运行。
    使用道具 举报 回复 支持 反对
    【关键技术点分析】
    1、开启工作线程,遍历SD目录下的文件进行加密,过滤路径中包含android、com.、miad名称的目录,木马病毒加密时会跳过隐藏目录、系统目录、应用目录、广告缓存目录等,重点目标选择为为dcim(相机照片)、download(系统下载)、baidunetdisk(百度网盘)等,病毒为了加快文件加密速度,会选择大小在10kb和50mb之内的文件。
    使用道具 举报 回复 支持 反对
    不玩游戏的路过
    使用道具 举报 回复 支持 反对
    2、病毒加密文件使用的是CBC模式的AES算法,Key为根据系统时间随机值MD5的部分截取,IV初始化向量为字符串"QQqun 5710***** "。因为这个KEY是保存在本地的,所以加密文件是可以被恢复的。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则