欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全预警正文

新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传

de64384a174e12dc2017-08-0463预警

E平安8月4日讯,Trend Micro公司的平安研究职员们发明一种新型SLocker变种,它在Android平台上间接套用加密讹诈软件WannaCry的图形用户界面。这一新型SLocker挪动讹诈软件变种被检测为ANDROIDOS_SLOCKER.OPSCB,它主要运用中国交际对象QQ运用顺序新功用中的耐久锁屏功用。

该歹意文件加密讹诈软件于2017年7月被研究职员发明并剖析。SLocker间接套用了WannaCry的图形用户设想界面。只管中国警方曾经拘系了该讹诈软件的创始人,但其他SLocker操纵者现在依然未被拘系归案。

1501778675432081536.jpg 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第1张

受害者重若是从QQ谈天群组傍边收取到该挪动歹意软件,且进击者特地针对与高人气游戏《王者光荣》相干的群组停止进击。该讹诈软件被伪装成一款游戏做弊对象,并运用“钱来了”或许“王者光荣修改器”等称号。《王者光荣》现在在中国极受迎接,日活泼用户5000万,拥有约2亿注册用户,个中1.08亿的女性玩家,这个数字已凌驾阿根廷和加拿大的生齿总和。若是玩家失慎装置该歹意软件,可能将致使小我私家主要材料悉数丧失,给自身形成重大损失。

SLocker变种的样本包名为“com.android.admin.hongyan”和“com.android.admin.huanmie”。个中的“朱颜”与“破灭”拼音常见于中国青少年人气小说傍边。

新型WannaCry-新型挪动加密讹诈病毒-E平安 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第2张

图一:讹诈申明截屏内容

新型WannaCry-新型挪动加密讹诈病毒-E平安 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第3张

图二:加密文件截屏。个中提到“文件已被破灭挟制”。


SLocker新变种的别的特征

除软件图形界面以外,新变种中还包罗别的一些设想调换。可在歹意讹诈软件运转以后变动装备壁纸,除此以外,这一新型SLocker病毒变体与其前身再无相似之处。与ANDROIDOS_SLOCKER.OPST分歧,新版本病毒运用Android集成开辟情况(简称AIDE)所构建,该顺序可用于间接在Android装备上开辟Android运用。值得夸大的是,AIDE能够或许资助讹诈软件操纵职员越发轻松地开辟简朴Android软件包(即APK),且极低的入门门坎能够吸收更多新人开辟属于自身的变种版本。

实际上,图一所示的“ADDING GROUP”文本会将受害者从新定向至某QQ群组,并在这里相同赎金领取体式格局,进击者以此谋取暴利。

新型WannaCry-新型挪动加密讹诈病毒-E平安 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第4张

图三:QQ群组页面截图。

此页面题为“锁机幼稚园”,QQ群创建于2017年5月16日。申明声称,该群组的主要功用在于传授锁机手艺,且个中的源码将不断更新。在页面下方尚有一个按钮,显现“申请加群”。

除此以外,尚有一段“联络我们”文本,个中包罗此前别的挪动讹诈软件所不具备的讹诈声明。一经点击,受害者的QQ对话窗口即会弹出,可供其与讹诈软件操纵职员通讯以议论文件解密事件

经由历程阅读该疑似讹诈软件操纵职员的QQ小我私家信息页面,我们还发明个中提到要处理文件,受害者必需接听电话并依据对方的指导停止操纵。

1501740839497060010.jpg 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第5张

图四:受害者与讹诈软件操纵职员间的QQ谈天窗口。

别的,此变种还迥殊用到了非歹意运用顺序中的正当证书,旨在制止自身被反病毒厂商列入黑名单。这些证书能够从谷歌的各Android开源项目傍边收费下载。别的,其该变种还运用正当的云存储效劳(bmob),讹诈软件操纵职员可运用其调换解密密钥

1501740893288088696.jpg 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第6张

图五:新变种的打包构造。

SLocke 变种怎样加密文件

只管显现出越发高等的设想要素,但该变种自身的加密历程并不算迥殊庞杂。固然该病毒的前身运用HTTP、TOR或XMPP与C&C近程效劳器停止通讯,新变种以至都未运用任何C&C通讯手艺。

在实行时,会随便对SD卡上的一切文件范例停止加密,个中包孕缓存、体系日记和tmp文件夹等,关于挪动用户绝对不太主要的数据。前代版本在加密历程中会消除此类文件,而仅针对微软Office文档、视频和图象等越发主要的文件花样。依据样本来看,该变种好像运用AES加密算法与曾经过期的DES加密算法——这再次证实其手艺水平相称无限。

1501740956939084291.jpg 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第7张

图六:DES加密算法傍边的代码片断。


耐久锁屏功用

或许是为了填补对SD卡中一切文件停止加密的小缺点,该新变种加入了锁屏以谢绝接见的功用。若是受害者点击赎金纪录中的解密按钮,则会弹出装备***界面; 而只需受害者点击作废按钮,该病毒将实行耐久锁屏。若是受害者间接点击激活按钮,则该变种会设置或重置装备PIN码以谢绝用户操纵。

1501741039534003258.jpg 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第8张

图七:装备***UI截屏。

1501741096425067435.jpg 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第9张

图八:PIN码锁屏截图。


处理方案与发起

固然这一变种的SLocker版本的加密历程存在肯定水平的缺点,但其引入的新功用停止耐久锁屏,依然值得QQ用户与挪动游戏玩家的高度存眷——讹诈软件操纵职员的进击手腕正变得日益纯熟。而此新变种敏捷的散布态势亦注解,其幕后黑手并没有放缓推动脚步。

以下发起内容能够或许防备您的装备受该讹诈软件沾染 :

  • 不要轻信软件引诱而下载,少数讹诈软件都邑伪装成神器、外挂、辅佐及种种刷钻、刷赞、刷人气的软件,没有任何功用,只为吸收用户中招;

  • 仅从谷歌Play市肆等正当运用市肆处下载并装置运用;

  • 请注意运用顺序请求的权限,迥殊是许可运用顺序在内部存储上猎取读取/写入权限;

  • 活期备份您的数据——可备份在别的平安装备或许云端;

  • 装置周全反病毒处理方案。

沾染目标 (简称IOCS)

SHA256

软件包

运用称号

5212B6A8DD17CCFC60F671C82F45F4885E0ABCC354DA3D007746599F10340774

com.android.admin.hongyan

TyProxy

6E5BBEDCE0F2CFFCADF0397282861B8694AD9111FE566DA934FC11EE25827F03

com.android.admin.hongyan

TyProxy

16C497C382492C0132D581A4ECE0EF0AB6C8BA7B265A9D7B0F6D47D9871D5E06

com.android.admin.hongyan

TyProxy

FCC08F87BF7818DA1C8DC794CAD9EF840B65384DAB5F6610334632163E867113

com.android.admin.hongyan

TyProxy

----------------------------------------------

新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传  预警 第10张

最注重品质的韩国直邮美容护肤品--韩都美护淘宝店

----------------------------------------------

B16A904AF7EBEB3B3A9C8FEF342C60EAB83DFA6867ACDBAA6F55C1F06B974123

com.android.admin.hongyan

TyProxy

5BFF2298944632CC50A17F88EA59ACF64E6093F2A4B4CBA6841B38EDE0F26C3D

com.android.admin.hongyan

TyProxy

CDE39A1338905B1C0D5A899378C9428A48D6CA01CB55396C03268DA939D3DD4A

com.android.admin.hongyan

TyProxy

DE990C12617F7CD01E2B810BC33AF4AE43B6E7C43430F7039252AC93416D5223

com.android.admin.hongyan

永久之蓝-挽安!

53136F6CEA9C04CF139C42A0F9B863C87BB1A3114010C324106D85A401FD8CAF

com.android.admin.hongyan

安卓王者光荣修改器

1ED647CB7A0F145D2E84FDFC7ADC2E865C312DBE574C4AB4298173EC7E9FCAB5

com.android.admin.hongyan

安卓王者光荣修改器

026733EB26FF09111CE389B56EAF431271812DFE28B426CB171C722EB41D62D7

com.android.admin.hongyan

黑客攻防对象箱

8FFF1BF0BFA618B6350DA5D99A620C21BD6F88A8711469575AA449A947CF6E96

com.android.admin.hongyan

钱来了!

645E969D314FE3813B268EFC3270366BFF0023D73F5A5E205761815BF7F51285

com.android.admin.hongyan

王者光荣丑化器

6FB373890F4CD54F7A5E3BCFB6F592D7703504238EA8E3AAF5FB8B6D6A4B2FE8

com.android.admin.hongyan

qb提取器

8A5102D2A3CE616FA60C165A4548A85D202625B924C8E5627BFE9759E7FFF735

com.android.admin.hongyan

钱来了!

FDAC14D2871293E3B38984F4833C8113E46673748B86625728363B1DF9F83517

com.android.admin.hongyan

TyProxy挪动版

DECB041278048C001142232AE9374D86489A011AF922D2F1803EAEBE690DACA0

com.android.admin.hongyan

鸢与锁机生成器

BC0B9BCADDCE6EF5A0BAB3BA1B278DE110E00F8F8A1CF1C64E782740B0BC2F6D

com.android.admin.huanmie

钱来了!

D835CF9D88EABC8508F130745FA786385FD7C2CC9C5F29B2DA5E6C2DC8372FA6

com.android.admin.huanmie

钱来了!

1C8A5045044DBF30C0781AC67263019CA0C8BF7562952821D7F5F54B9D6B74A8

com.android.admin.huanmie

钱来了!

AE3F772B12D4C97B4377DFADFE01528411811D22F8708A2B33A10494461EC2E4

com.android

TyProxy

E平安注:本文系E平安独家编译报导,转载请联络受权,并保存出处与链接,不得删减内容。联络体式格局:① 微旌旗灯号zhu-geliang ②邮箱eapp@easyaq.com

@E平安,最专业的前沿收集平安媒体和家当效劳平台,逐日供应优良环球收集平安资讯与深度思索,迎接存眷微信民众号「E平安」(EAQapp),或登E平安门户网站www.easyaq.com , 检察更多精彩内容。

上一篇 : ICS-CERT:黑客将运用CAN总线破绽进击你的汽车

下一篇 : 美***宣布《在线体系破绽表露设计框架》,资助企业竖立破绽表露设计

您可能感兴致的资讯  新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传 预警 第11张
中远海运美国公司遭受讹诈软件沾染
 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传 预警 第12张
兵工巨子BAE Systems构建“环球情报网”
 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传 预警 第13张
纽约市9家B&BHG餐厅POS体系沾染,致主顾领取卡数据泄漏
 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传 预警 第14张
印度行将履行收集中立法,一切用户一致享用互联网
 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传 预警 第15张
CNCERT 2018年中国收集平安年会征文关照
 新型WannaCry:伪装成“王者光荣”外挂,应用QQ群流传 预警 第16张
​《2018年夏日互联网生长状态平安申报:Web进击》:旅店效劳行业面对僵尸收集的围攻
----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

网友评论