近日,一款号称安卓版“永恒之蓝”的手机勒索病毒,冒充热门游戏王者荣耀外挂,在手机端大规模扩散,目前已经产生王者荣耀CDK生成器、王者荣耀美化、黑客工具宝盒等更多新变种,用户一旦中招,将会面临巨额勒索费用,如果拒不支付,一周之内相关加密文件就可能被删除。对此,360团队针对新变种病毒及时发布了手机勒索病毒对抗恢复工具,帮助已经中招的用户修复文件安全,并更经过更深入的分析跟进,发现了此勒索病毒更多细节,以及其背后更大的下线团伙,目前在360的技术追踪下,制造并传播该病毒的不法分子的已被相关部门锁定。。
图1:病毒作者号称这是“永恒之蓝”安卓版,并在自己的QQ空间,大肆炫耀宣传
手机勒索病毒新变种频发 360及时跟进发布最新恢复工具效果显著
据了解,6月2日在接到360社区用户的中病毒反馈后,360方面便第一时间完成了样本逆向分析,对外发布了勒索病毒恢复工具。而在6月3日,360方面监测到该勒索病毒已经通过新加密方式变种开始传播,并陆续发现了王者荣耀CDK生成器、王者荣耀美化黑客工具宝盒等新变种,因而,360方面及时跟进,持续监控新变种并迅速发布了最新的恢复工具。目前来看,360针对该手机勒索病毒感染文件的修复效果较为显著,基本能够恢复用户中招的全部数据,获得了社区用户的一致好评。
图2:Android版“永恒之蓝”时间线同时,360方面通过对冒充王者荣耀辅助的勒索软件进行详细分析后,发现并锁定了该病毒作者的QQ账号以及该病毒生成器的历史渊源。通过对病毒生成器的挖掘,360方面发现了多达数百个相同包名(com.mzbahkbb)的病毒生成器,从代码中可以看到与病毒作者都有关联,从而推测出其实该病毒作者发展的下线团伙。因而,360方面迅速跟进,锁定了该病毒制造者的个人信息,从源头上最快速度阻止了病毒的进一步传播和扩散。
图3:360锁定病毒制作分子个人信息
深挖勒索病毒背后犯罪团伙 360提示用户正规渠道下载
360手机安全卫士专家表示,这款手机勒索病毒目前已产生诸多新变种大规模扩散,并通过网站、qq群组、视频等方式广泛传播。并且,该病毒的制作者还通过在网络上有偿发布“病毒生成器”等发展下线的方式进一步加速病毒的扩散和传播。由于其伪装成时下最为热门的《王者荣耀》手游辅助工具,且病毒新变种频发,将会继续滥用相关热门应用外壳,脱离腾讯方面对其的控制,对于普通用户的诱导性极强,一旦进一步蔓延,将为安卓用户的个人数据隐私安全带来极大风险。
图43:网站传播
54:QQ群传播
图65:视频传播
因而,360方面温馨提示广大安卓手机用户,在下载手机APP时,尽量选择可信度较高、安全性较强、大品牌的正规下载渠道和支付渠道,比如360应用商店手机助手等,同时不要轻信他人谗言,误点误传可疑应用,下载360手机卫士等随时监测侦察安卓手机的设备情况,从源头上杜绝勒索病毒的感染和传播。
|