手机也会中勒索病毒? 那我们的钱还安全吗?
从上周末开始，一款名为“想哭”（WannaCry）的勒索病毒在全球范围内疯狂传播，目前至少有150个国家受到网络冲击，国内很多企事业单位、学校等也受到了影响，拔网线成了上班族自我拯救的一技。 周一中央网信办发消息称勒索软件传播速度已明显放缓，有国内网络公司也表示已经自主破解了勒索病毒，电脑危机似乎在逐渐过去，但今天网...
从上周末开始，一款名为“想哭”（WannaCry）的勒索病毒在全球范围内疯狂传播，目前至少有150个国家受到网络冲击，国内很多企事业单位、学校等也受到了影响，拔网线成了上班族自我拯救的一技。周一中央网信办发消息称勒索软件传播速度已明显放缓，有国内网络公司也表示已经自主破解了勒索病毒，电脑危机似乎在逐渐过去，但今天网上突然冒出一张微信对话截图，表示这种勒索病毒手机也能被侵犯，无论是安卓系统还是苹果系统！同时还称，这是升级版的勒索病毒，一旦被勒索，目前没有办法解救，只能预防！什么？手机也会中勒索病毒？这个消息是真的还是假的呢？网络安全专家们这样说：360安全专家安扬接受采访时表示，手机勒索病毒一直存在，但360目前并没有发现感染此次勒索病毒的手机存在。“此次勒索病毒是一种Windows系统病毒，不可能在安卓手机或者苹果手机上存在。”安扬说。安扬分析，有一种情况可能发生，“手机当做存储设备连接到了感染此次勒索病毒的电脑，手机内SD卡内文件可能感染该病毒。”腾讯安全反病毒实验室负责人马劲松表示，手机上确实也出现过类似勒索病毒，但并没有证据证实跟这次勒索病毒事件有关系。猎豹方面表示，手机上的勒索病毒一直有，目前猎豹没有检测到有手机感染此次的勒索病毒。马劲松分析此次勒索病毒，“其传播形式跟十年前微软蠕虫系列一样，处理方式也一样，只是这次与勒索病毒做了结合。”“广大网友不必太惊慌。”马劲松说，“针对勒索病毒已经找到了有效的防御方法，而且周一开始病毒传播已在减弱，用户只要掌握正确的方法就可以避免。”所以，前面提到的微信截图的内容并非真实，手机控们终于可以松一口气啦！不过，手机感染病毒被锁并不是没有发生过，据南方网报道，来自猎豹移动安全中心监控的数据，2016高峰时期全球半月感染用户数高达40万，而国内也是此类病毒的重灾区。单一勒索病毒作者日收入可达500-600元。整个黑色产业在16年已达到千万级别。且随着用户时间从PC向手机迁移，有继续增长的趋势。症状：在手机端发作会导致手机锁屏当用户点击运行后，手机会被立即锁住，重启也无济于事。手机被锁屏后，每次解锁的价格在20至50元不等，勒索者每日收入高达500到600元。用户如需解锁必须联系屏幕上方的QQ号并支付一定赎金才能恢复正常使用。途径：传播途径多样用户恐防不胜防据记者了解到，目前手机勒索者病毒传播种类多样，手机用户往往防不胜防。据网络安全专家介绍，目前病毒传播主要有以下途径。接下来，勒索者会将APK取名为类似朋友圈点赞，QQ刷钻等比较有诱惑力的名字，然后用各小号加入多个QQ群，将勒索软件上传群共享，误导用户下载安装。遇到这种情况，用户要么选择刷机，要么只能联系屏幕上方的QQ解锁。2、论坛贴吧传播在游戏外挂，刷钻等寻求功能类软件的帖子中，会有大量用户反馈手机被锁，这正是病毒作者打着“满足用户功能需求”的幌子而放的病毒链接来诱导用户中招。3、短信方式传播通过发送短信进行传播，用户点击安装后手机被立即锁屏。措施：如手机已中招该如何清除？如果用户的手机被感染了勒索者病毒，部分手机可先尝试进入安全模式，找到可疑APP进行卸载。若方法无效，用户可通过手机的售后服务，在专业人员的指导下进行刷机。网络安全专家表示，并不建议联系病毒制造者花钱解锁，在防止再次被骗的同时，并不能保证用户能够获得完整的手机恢复。据悉，建设银行在太原的一家支行疑似受到“勒索病毒”影响，导致银行系统需要维护升级，这家500强企业子公司的员工工资也因此暂停发放。虽然建行否认了这个说法，但有一个问题却不得不让我们感到担忧，那就是在病毒肆虐的环境中，各类金融机构能够顺利应对吗？我们的钱还安全吗？金融机构屡次遭到“黑客”攻击事实上，无论是银行还是投资理财平台，都遭遇过“黑客”的攻击，并且成功地泄露信息甚至直接提现。实际情况来看，在金融机构中，官方网站是“黑客”攻击的首选之一。去年，多家网站就公开称遭到攻击。金盛金融集团技术负责人告诉笔者，平台一年成功抵御攻击的次数，达到300多万次以上，其中，定向攻击能够达到近700次。为了让客户享受到良好的服务体验，金盛金融购买了多重安全防护，并有多个备用服务器，每年用在安全维护方面的费用就多达数百万。目前爆发的勒索病毒，就用的就是“勒索比特币，不然就销毁数据”的手段。“拿到数据后，他也可以去一些做的风控不好的网站，比方说不用验证码的那种，来进行绑卡，盗刷你的钱。此外，信息中不是有电话么，还可以拿你的资料去卖给那些希望获客的机构。”金盛金融的负责人称。“此外，还可以把你的机器当‘肉鸡’。”上述负责人解释，这样如果对方想攻击一家公司A，那么他可以先攻击公司B，再攻击A，这样看起来是“A在攻击B”。那么银行等金融机构如何防止黑客攻击？当然金融机构面对病毒和“黑客”也并非坐以待毙。一家城商行的技术人员告诉笔者，就目前来看，考虑到病毒攻击主要是以windows系统为主，个人财产安全受影响的可能性不大。操作系统也解救了不少投资理财企业。一家网贷平台的CTO告诉笔者，由于其服务器用的是Linux系统，而本次勒索病毒感染对象是Windows系统，因此对于用户资金和平台安全没有影响。“本身公司层面对网络访问有安全拦截机制，加上员工用的MAC电脑比较多，没有受到影响。“金盛金融的技术负责人也这么说。虽然盗取资料并非完全不可能，但魔高一尺，道高一丈，银行也做了相应的防护。“备份是必须要做的。”他解释，“而且现在所有信息都是加密的，除非解密，不然就是无用信息。““至于破解的难易度，取决于加密方法。”他补充，如果真的拿走了资料，比如再来贷款，那还有到时候的身份验证这一环，因此虽然不是100%安全，但大可以“放宽心”。综上，笔者提醒大家，一定要注意信息安全，当然并非所有的金融机构都不靠谱，一定要选择靠的住的平台啊。当下软件园 / 汇聚当下最新最酷的软件下载站！
热门搜索：
您的位置：
> 遭遇勒索软件应该怎么办 被勒索软件“绑架”了咋办
遭遇勒索软件应该怎么办 被勒索软件“绑架”了咋办
在网络技术不断发展的同时，一系列的网络恶意软件也在不断衍生。勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。
Cylance高级威胁研究员Derek Soeder在本文中与大家分享了如何对勒索软件进行逆向工程以恢复加密用户文件的密码。下面我们来看看Soeder都做了哪些操作，来恢复被勒索软件&绑架&的用户数据。
挑战勒索软件
2013年初，有一家机构向我们寻求帮助，请求恢复他们被勒索软件ACCDFISA感染的服务器中的数据。这个恶意软件已经仔细扫描了每个驱动器上的每一个文件，并且对所有重要文件进行了恶意加密。想要从备份恢复完全是不可能的，因为服务器上的备份驱动同样已经安装了恶意软件。这真的是一场完败！
这个恶意软件让每个文件变成了一个包含加密RAR的自解包程序，同时文件名带有指令：(!!解密电子邮件id&到&@&!!).exe。
这个变体声称使用了256字符随机生成这一高级加密标准.256对每个&受害者&进行单独加密，同时攻击者可以远程存储这些密码。据称这种加密方式可以安全地删除所有未加密原文件以及密码文件，来对恢复硬盘的努力进行阻碍。
试图找到解压软件加密中的一个漏洞似乎并不是最有效的解决思路；相反，我们要把注意力转向破解密码上。为此，我们需要找到创建密码的代码。
找到密码生成器
在对受感染服务器的驱动副本进行反复查看之后，我们发现恶意程序和一些奇怪的文件可能有关系。我们发现微软Sysinternals的删除工具(可以永久删除文件)、一个&NoSafeMode&库以及一个用于自解包程序的RAR实用程序。而RAR实用程序则成为我们进行逆向工程的起点。
这个实用程序接受加密秘钥作为一个命令行参数，所以我们猜测能够通过回溯用于启动的恶意软件代码，从而找到密码生成器。
首先，我们在一次性系统中运行此勒索软件。我们用调试器来拦截生成过程的调用，启动RAR实用程序，伪装成svchost.exe。这样我们就能看到勒索软件执行的每个命令，以及最终用于加密文件的密码。截获的密码为aseT322B2XgM(mC0&有57个字符长，大小写、数字、标点符号混合通过一个点击动作就随机生成)。而以aes开始的密码可能是巧合，或是有意而为的点缀。如果是故意的，那么我们期望可以找到勒索软件代码中的字符串。当我们打开勒索软件反汇编程序时，我们发现不只是aes，而是aesT322。我们因此知道密码实际上是aesT322以及后面大约50位随意生成字符。
我们知道截获的密码不一定与加密客户文件的密码相同。但是我们已经知道一些线索来指导我们下一步逆向工程：我们可以寻找密码本身或者碎片，寻找可能用于生成密码的字符表，以及寻找用于构建命令行密码部分的字符串。
我们使用调试器寻找勒索软件运行时被分配到全局变量的值，通过逆向工程，我们确认了一个全局变量：一个是aesT322前缀字符串，另一个是50位随机字符的字符串，以及57位的完整密码。
搞清楚生成器工作原理
我们了解了很多关于勒索软件的工作原理，但目前我们不认为这会对受害者有所帮助。实际上，我们排除了只是一个固定字符串(即简单密码)被用于所有情况的可能，我们仍然在探索的路上。
通过在程序中跟踪每个实例中的三个变量，我们发现一个循环，就是随机选择的50个字符来自一个由26个小写字符、26个大写字母、10个数字以及16个标点构成的78个字符表，其中有重复。计算机很难实现真正的随机。想要打败加密的一个方法便是攻击&伪随机数生成器&(PRNG)，而这就是我们真正要做的。
最终我们发现了初始化的PRNG，或说是去了&种子&的，这是一段带有来自执行此代码线程标识符的32字节数字，以及以毫秒为单位系统运行的时长。这些都是可以预测的值。由于32字节的种子，我们现在了解到最多可能有40亿种不同密码，而非真正从78个字符中随机产生出50个字符而存在的天文数字般可能性。
原因是之前提到的，即使在随机行为中计算机也通常运用了僵化的决定方式。而对于任意给定的种子值，PRNG可以在任何时间从初始值以相同顺序、相同方式、产生相同的数字。而种子是32字节的数字，那么就存在0到10亿的可能性，因此相同初始状态存在的可能领域是大大受限的。
猜密码的过程是十分耗时的，而这正是我们接下来要做的。
一个包含40亿个密码的列表是恐怖的。但我们知道了种子是依赖于一个线性ID的(它是四的倍数)，通常少于10000和系统正常运行周期。在49.7天的进程中，正常运行时间将从0数到40亿，然后环绕一圈再次回到0。我们需要了解服务器在被攻击之前运行了多久&&可能通过一个文件时间戳或一个时间日志条目&&来缩小可能性的范围。但是我们发现了一些更好的情况。
在所有奇怪的文件中，我们发现一个在ProgramData目录下的stppthmainfv.dll，带有21行每行含有8个随机字母。我们决定逆向操作，用&暴力&破解所有存在可能的种子值，找出哪个可能让PRNG产生出这21行的。由于这是一个32位的字符串，我们知道在一台正常电脑上搜索应该不会超过几个钟头。这样就会比使用所有潜在密码破解RAR实用程序速度快得多。
一个单核CPU4秒钟便可测试种存在的可能性，同时找到stppthmainfv.dll 中相同顺序的字母生成的个种子值。我们生成了大约12MB的密码列表与种子值进行测试(比测试236GB大小的40亿中可能要强太多了)。我们通宵运行了一批程序，针对RAR实用程序进行密码逐个测试。
当清晨降临，我们已经获得了那个我们一直在等待的&&正确密码。实验成功了！最终，看我们成功从勒索软件中夺回了用户的数据。
Copyright (C)
.All rights reserved.查看: 7158|回复: 12
安卓锁机软件——Android勒索软件研究报告
阅读权限10
Author：360移动安全团队0x00 摘要手机勒索软件是一种通过锁住用户移动设备，使用户无法正常使用设备，并以此胁迫用户支付解锁费用的恶意软件。其表现为手机触摸区域不响应触摸事件，频繁地强制置顶页面无法切换程序和设置手机PIN码。手机勒索软件的危害除了勒索用户钱财，还会破坏用户数据和手机系统。手机勒索软件最早从仿冒杀毒软件发展演变而来，2014年5月Android平台首个真正意义上的勒索样本被发现。
截至2016年第一季度，勒索类恶意软件历史累计感染手机接近90万部，从新增感染手机数据看，2015年第三季度新增感染手机接近35万部。截至2016年第一季度，共捕获手机勒索类恶意样本7.6万余个。其中国外增长迅速，在2015年第三季度爆发式增长，季度捕获量接近2.5万个；国内则稳步上升。国外最常伪装成色情视频、Adobe Flash Player和系统软件更新；国内则最常伪装成神器、外挂及各种刷钻、刷赞、刷人气的软件。从手机勒索软件的技术原理看，锁屏主要利用构造特殊的悬浮窗、Activity劫持、屏蔽虚拟按键、设置手机PIN码和修改系统文件。解锁码生成方式主要是通过硬编码、计算、序列号对应。解锁方法除了直接填写解锁码，还能够通过短信、联网和解锁工具远程控制解锁。制作方面，主要使用合法的开发工具AIDE，通过QQ交流群、教学资料、收徒传授的方式进行指导。传播方面，主要通过QQ群、受害者、贴吧、网盘等方式传播。制马人通过解锁费、进群费、收徒费等方式获取非法所得，日收益在100到300元不等，整个产业链收益可达千万元。从制马人人群特点看，年龄分布呈现年轻化，集中在90后和00后。一方面自己制作勒索软件；另一方面又通过收徒的方式像传销一样不断发展下线。从被敲诈者人人群特点看，主要是一些经常光顾贴吧，以及希望得到各种“利器”、“外挂”的游戏QQ群成员。从预防的角度，可以通过软件大小、名称、权限等方式进行甄别，同时需要提高个人安全意识，养成良好的使用手机习惯。在清除方法上，可以通过重启、360手机急救箱、安全模式、ADB命令、刷机等多种方案解决。
0x01 Android平台勒索软件介绍一、勒索软件定义手机勒索软件是一种通过锁住用户移动设备，使用户无法正常使用设备，并以此胁迫用户支付解锁费用的恶意软件【1】。二、勒索软件表现形式1)主要通过将手机触摸屏部分或虚拟按键的触摸反馈设置为无效，使触摸区域不响应触摸事件。2)频繁地强制置顶页面，造成手机无法正常切换应用程序。3)设置手机锁定PIN码，无法解锁进入手机系统。三、勒索软件的危害1)敲诈勒索用户钱财2)加密手机文件，破坏用户数据3)清除手机应用，破坏手机系统四、勒索软件历史演变2013年06月Android.Fakedefender【2】，仿冒杀毒软件恐吓用户手机存在恶意软件要求付费并且顶置付费提示框导致无法清除。2014年05月Android.Koler【3】，Android平台首个真正意义上的勒索样本。2014年06月Android.Simplocker【4】，首个文件加密并且利用洋葱网络的勒索样本。2014年06月Android.TkLocker【5】，360发现首个国内恶作剧锁屏样本。2014年07月Android.Cokri【6】，破坏手机通讯录信息及来电功能的勒索样本。2014年09月Android.Elite【7】，清除手机数据并且群发短信的锁屏样本。2015年05月Android.DevLocker【8】，360发现国内出现首个设置PIN码的勒索样本。2015年09月Android.Lockerpin【9】，国外出现首个设置PIN码的勒索样本。
0x02 Android平台勒索软件现状一、勒索类恶意样本感染量截至2016年第一季度，勒索类恶意软件历史累计感染手机接近90万部，通过对比年季度感染变化趋势，可以看出2015年第三季度新增感染手机接近35万部。二、勒索类恶意样本数量截至2016年第一季度，共捕获勒索类恶意样本7.6万余个，通过对比年季度变化情况，可以看出国外勒索类恶意软件增长迅速，并且在2015年第三季度爆发式增长，季度捕获量接近2.5万个；反观国内勒索类恶意软件增长趋势，虽然没有爆发式增长，但是却呈现出稳步上升的趋势。三、常见伪装对象对比国内外勒索类恶意软件最常伪装的软件名称可以看出，国外勒索类恶意软件最常伪装成色情视频、Adobe Flash Player和系统软件更新这类软件。而国内勒索类恶意软件最常伪装成神器、外挂及各种刷钻、刷赞、刷人气的软件，这类软件往往利用了人与人之间互相攀比的虚荣心和侥幸心理。四、用户损失估算2015年全年国内超过11.5万部用户手机被感染，2016年第一季度国内接近3万部用户手机被感染。每个勒索软件的解锁费用通常为20、30、50元不等，按照每位用户向敲诈者支付30元解锁费用计算，2015年国内用户因此遭受的损失达到345万元，2016年第一季度国内用户因此遭受的损失接近90万。0x03 Android平台勒索软件技术原理一、锁屏技术原理1)利用WindowManager.LayoutParams的flags属性通过addView方法实现一个悬浮窗，设置WindowManager.LayoutParams的flags属性，例如，“FLAG_FULLSCREEN”、“FLAG_LAYOUT_IN_SCREEN”配合“SYSTEM_ALERT_WINDOW”的权限，使这个悬浮窗全屏置顶且无法清除，造成手机屏幕锁屏无法正常使用。2)利用Activity劫持通过TimerTask定时监控顶层Activity，如果检测到不是自身程序，便会重新启动并且设置addFlags值为“FLAG_ACTIVITY_NEW_TASK”覆盖原来程序的Activity，从而利用Activity劫持手段，达到勒索软件页面置顶的效果，同时结束掉原来后台进程。目前Android5.0以上的版本已经采取了保护机制来阻止这种攻击方式，但是5.0以下的系统仍然占据绝大部分。3)屏蔽虚拟按键通过改写onKeyDown方法，屏蔽返回键、音量键、菜单键等虚拟按键，造成不响应按键动作的效果，来达到锁屏的目的。4)利用设备管理器设置解锁PIN码通过诱导用户激活设备管理器，勒索软件会在用户未知情的情况下强制给手机设置一个解锁PIN码，导致用户无法解锁手机。5)利用Root权限篡改系统文件如果手机之前设置了解锁PIN码，勒索软件通过诱导用户授予Root权限，篡改/data/system/password.key文件，在用户不知情的情况下设置新的解锁PIN码替换旧的解锁PIN码，达到锁屏目的。二、解锁码生成方式1)解锁码硬编码在代码里有些勒索软件将解锁码硬编码在代码里，这类勒索软件解锁码唯一，且没有复杂的加密或计算逻辑，很容易找到解锁码，比较简单。2)解锁码通过序列号计算与硬编码的方式相比，大部分勒索软件在页面上都显示了序列号，它是恶意软件作者用来标识被锁住的移动设备编号。一部分勒索软件解锁码是通过序列号计算得出，例如下图中的fkey代表序列号，是一个随机生成的数；key代表解锁码，解锁码是序列号*3-98232计算得出。这仅是一个简单的计算例子，这种方式解锁码随序列号变化而变化，解锁码不唯一并且可以使用复杂的计算逻辑。3)解锁码与序列号键值对关系还有一部分勒索软件，解锁码与序列号都是随机生成，使用键值对的方式保留了序列号和解锁码的对应关系。这种方式序列号与解锁码没有计算关系，解锁码会经过各种加密变换，通过邮件等方式回传解锁码与序列号的对应关系。三、常见解锁方法1)直接输入解锁码解锁用户通过付给敲诈者钱来换取设备的解锁码。将解锁码直接输入在勒索页面里来解锁屏幕，这是最常见的勒索软件的解锁方式之一。2)利用短信控制解锁短信控制解锁方式，就是通过接收指定的短信号码或短信内容远程解锁，这种解锁方式会暴露敲诈者使用的手机号码。3)利用联网控制解锁敲诈者为了隐藏自身信息，会使用如洋葱网络等匿名通信技术远程控制解锁。这种技术最初是为了保护消息发送者和接受者的通信隐私，但是被大量的恶意软件滥用。4)利用解锁工具解锁敲诈者为了方便进行勒索，甚至制作了勒索软件配套的解锁控制端。0x04 Android平台勒索软件黑色产业链本章主要从Android平台勒索软件的制作、传播、收益角度及制马人和被敲诈的人群特点，重点揭露其在国内的黑色产业链。一、制作（一）制作工具国内大量的锁屏软件都使用合法的开发工具AIDE，AIDE是Android环境下的开发工具，这种开发工具不需要借助电脑，只需要在手机上操作，便可以完成Android样本的代码编写、编译、打包及签名全套开发流程。制马人使用开发工具AIDE只需要对源码中代表QQ号码的字符串进行修改，便可以制作成一个新的勒索软件。因为这种工具操作简单方便，开发门槛低，变化速度快，使得其成为制马人开发勒索软件的首选。（二）交流群通过我们的调查发现，制马人大多使用QQ群进行沟通交流，在QQ群查找里输入“Android锁机”等关键字后，就能够找到很多相关的交流群。图是某群的群主在向群成员炫耀自己手机中保存的锁机源码（三）教学资料制作时不仅有文字资料可以阅读，同时在某些群里还提供了视频教程，可谓是“图文并茂”锁机教程在线视频锁机软件教程（四）收徒传授在群里，群主还会以“收徒”的方式教授其他人制作勒索软件，在扩大自己影响力的同时，也能够通过这种方式获取利益。二、传播通过我们的调查研究，总结出了国内勒索软件传播示意图制马人通过QQ群、受害者、贴吧、网盘等方式，来传播勒索软件。（一）QQ群制马人通过不断加入各种QQ群，在群共享中上传勒索软件，以“外挂”、“破解”、“刷钻”等各种名义诱骗群成员下载，以达到传播的目的。（二）借助受害者当有受害者中招时，制马人会要求受害者将勒索软件传播到更多的QQ群中，以作为换取解锁的条件。（三）贴吧制马人在贴吧中以链接的方式传播。（四）网盘制马人将勒索软件上传到网盘中，再将网盘链接分享到各处，以达到传播的目的。三、收益通过我们的调查研究，总结出了国内勒索软件产业链的资金流向示意图制马人主要通过解锁费、进群费、收徒费等方式获取非法所得，日收益在100到300元不等。（一）收益来源解锁费进群费收徒费（二）日均收益制马人通过勒索软件的日收益在100到300元不等（三）产业链收益2015年全年国内超过11.5万部用户手机被感染，2016年第一季度国内接近3万部用户手机被感染。每个勒索软件的解锁费用通常为20、30、50元不等，按照每个勒索软件解锁费用30元计算，2015年国内Android平台勒索类恶意软件产业链年收益达到345万元，2016年第一季度接近90万。国内Android平台勒索类恶意软件历史累计感染手机34万部，整个产业链收益超过了千万元，这其中还不包括进群和收徒费用的收益。四、制马人人群特点（一）制马人年龄分布从抽取的几个传播群中的人员信息可以看出，制马人的年龄分布呈现年轻化，集中在90后和00后。（二）制马人人员架构绝大多数制马人既扮演着制作者，又扮演着传播者的角色。他们一方面自己制作勒索软件，再以各种方式进行传播；另一方面又通过收徒的方式像传销一样不断发展下线，使制马人和传播者的人数不断增加，勒索软件的传播范围更广。这群人之所以肆无忌惮制作、传播勒索软件进行勒索敲诈，并且大胆留下自己的QQ、微信以及支付宝账号等个人联系方式，主要是因为他们年龄小，法律意识淡薄，认为涉案金额少，并没有意识到触犯法律。甚至以此作为赚钱手段，并作为向他人进行炫耀的资本。五、被敲诈人人群特点通过一些被敲诈的用户反馈，国内敲诈勒索软件感染目标人群，主要是针对一些经常光顾贴吧的人，以及希望得到各种“利器”、“外挂”的游戏QQ群成员。这类人绝大多数是90后或00后用户，抱有不花钱使用或外挂的侥幸心理，或者为了满足互相攀比的虚荣心，容易被一些带有“利器”、“神器”、“刷钻”、“刷赞”、“外挂”等名称的软件吸引，从而中招。0x05 Android平台勒索软件的预防一、勒索软件识别方法1)软件大小安装软件时观察软件包的大小，这类勒索软件都不会太大，通常不会超过1M。2)软件名称多数勒索软件都会伪装成神器、外挂及各种刷钻、刷赞、刷人气的软件。3)软件权限多数勒索软件会申请“SYSTEM_ALERT_WINDOW”权限或者诱导激活设备管理器，需要在安装和使用时留意。二、提高个人安全意识1)可信软件源建议用户在选择应用下载途径时，应该尽量选择大型可信站点，如360手机助手、各软件官网等。2)安装安全软件建议用户手机中安装安全软件，实时监控手机安装的软件，如360手机卫士。3)数据备份建议用户日常定期备份手机中的重要数据，比如通讯录、照片、视频等，避免手机一旦中招，给用户带来的巨大损失。4)拒绝诱惑建议用户不要心存侥幸，被那些所谓的能够“外挂”、“刷钻”、“破解”软件诱惑，这类软件绝大部分都是假的，没有任何功能，只是为了吸引用户中招。5)正确的解决途径一旦用户不幸中招，建议用户不要支付给敲诈者任何费用，避免助涨敲诈者的嚣张气焰。用户可以向专业的安全人员或者厂商寻求解决方法。0x06 Android平台勒索软件清除方案一、手机重启手机重启后快速对勒索软件进行卸载删除是一种简单便捷的清除方法，但这种方法取决于手机运行环境和勒索软件的实现方法，仅可以对少部分勒索软件起作用。二、360手机急救箱360手机急救箱独有三大功能：“安装拦截”、“超强防护”、“摇一摇杀毒”，可以有效的查杀勒索软件。安装拦截功能，可以让勒索软件无法进入用户手机；超强防护功能，能够清除勒索软件未经用户允许设置的锁屏PIN码，还能自动卸载木马；摇一摇杀毒可以在用户中了勒索软件，无法操作手机的情况下，直接杀掉木马，有效保护用户安全。三、安全模式安全模式也是一种有效的清除方案，不同的机型进入安全模式的方法可能不同，建议用户查找相应机型进入安全模式的具体操作方法。我们以Nexus 5为例介绍如何进入安全模式清除勒索软件，供用户参考。步骤如下：步骤一：当手机被锁后长按手机电源键强制关机，然后重启手机。步骤二：当出现Google标志时，长按音量“-”键直至进入安全模式。步骤三：进入“设置”页面，找到并点击“应用”。步骤四：找到对应的恶意应用，点击卸载，重启手机，清除成功。
四、ADB命令对有一定技术基础的用户，在手机有Root权限并且已经开启USB调试（设置-&开发者选项-&USB调试）的情况下，可以将手机连接到电脑上，通过ADB命令清除勒索软件。针对设置PIN码类型的勒索软件，需要在命令行下执行以下命令：[size=1em][size=1em]1
[size=1em]2
[size=1em]3
[size=1em][size=1em]& adb shell
[size=1em]& su
[size=1em]& rm /data/system/password.key
针对其他类型的勒索软件，同样需要在命令行下执行rm命令，删除勒索软件安装的路径。五、刷机如以上方法都无法解决，用户参考手机厂商的刷机指导或者到手机售后服务，在专业指导下进行刷机操作。0x07 附录：参考资料【1】：Mobile security【2】：FakeAV holds Android Phones for Ransom【3】：Police Locker land on Android Devices【4】：ESET Analyzes Simplocker – First Android File-Encrypting, TOR-enabled Ransomware【5】：TkLocker分析报告【6】：病毒播报之流氓勒索【7】：Vandal Trojan for Android wipes memory cards and blocks communication【8】：手机锁屏勒索国内首现身【9】：Aggressive Android ransomware spreading in the USA
转载自乌云知识库，侵删
新人前来学习，膜拜尔等大神
用心讨论，共获提升！
欢迎分析讨论交流，吾爱破解论坛有你更精彩！
欢迎分析讨论交流，吾爱破解论坛有你更精彩.
鼓励转贴优秀软件安全工具和文档！
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
看来以后下软件得小心了！建议对于报毒的软件小心点， 基本都是用数字卫生 什么多的比较多。。别贪小便宜
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
我竟然从头到尾一字不漏的看完了……以后千万要小心了
老这样防着也不是个事，得想个办法进攻啊
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
转过来的看看也涨见识了.看来以后下软件得小心了！建议对于报毒的软件小心点
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
长知识了谢谢
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
涨知识了。。。。来自: Android客户端
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
这个比较有意义，对于不熟悉的手机软件真的不能随便装啊。来自: Android客户端
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
学习了以后I要小心
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
涨姿势了。。以后要小心，
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
头像被屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
我没中过，自认为小儿科。因为我天天刷机。几乎所有的rom都试用过。所以我不怕来自: Android客户端
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
免责声明：吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。
( 京ICP备号 | 京公网安备 87号 )
Powered by Discuz!
Comsenz Inc.}