关于勒索APP“千变语音秀”的威胁信息共享通报
本帖最后由 Andy0214 于 2017-6-12 18:39 编辑关于勒索APP“千变语音秀”的威胁信息共享通报
近日,有网民向国家互联网应急中心(简称“CNCERT”)投诉了一款名为“千变语音秀”APP具有勒索行为。CNCERT在第一时间开展分析验证工作,现将相关情况通报如下:该恶意程序是一款名为“千变语音秀”的勒索类恶意软件,程序启动后未经用户许可,私自修改用户设备桌面壁纸;加密指定目录下的(/storage/emulated/0)的特定文件,致使用户无法正常打开被加密的文件;程序设置时间限制,以增加解锁费用、删除文件勒索用户,具有系统破坏、流氓行为的恶意属性。
"千变语音秀"恶意程序安装图标如下:
Ø病毒恶意行为分析1.
1.程序诱骗用户点击启动后,私自修改用户桌面壁纸。
图1:私自修改用户桌面壁纸的代码证据2.遍历指定目录下的文件,并对特定文件进行加密,勒索用户付费解密。
图2:对特定文件进行加密的代码证据
图3:加密文件的代码证据
图4:对原始的加密密钥字符串使用MD5、自定义算法
图5:初始化AES密钥,加密文件的代码证据
图6:用户无法打开被加密的文件
图7:勒索用户付费解密的提示
3.用户输入正确解锁码后,解密文件。
图8:验证用户输入解锁码的代码证据
图9:用户获取被加密的文件列表的代码证据图10:解密文件的代码证据
4.程序设置时间限制,若用户未在规定时间内付费,将导致解锁费用增加、文件被删除,以此勒索用户。
图11:程序设置时间限制的提示
图12:获取程序启动时的时间
图13:设置增加解锁费用、删除文件的时间
图14:删除指定目录下文件名中不包含“彼岸花开”的文件
5.程序预留微信、QQ,支付宝信息,提示用户“付费”解锁。
图15:预留的二维码信息
图16:预留的QQ号信息
图17:二维码支付界面
原文地址:http://mp.weixin.qq.com/s/Zmu8ovZCyYcFqkeRv_0P-A youyu1000 发表于 2017-6-14 15:29
不过一般而言手机里也不会有太多重要的文档,如果他能锁通讯录那就厉害了
锁通讯录???你不知道国内各大厂商ROM自带的云端吗?他要有本事把云端文件给锁了我就付款,不然~~我他么比如通讯录、短信、设置、桌面布局、等等能想到的数据都是自动云端的Flyme、miui等再加上个路由器连接WiFi自动同步相册和视频的设定,他锁机,我就直接20分钟后见了。 Andy0214 发表于 2017-6-12 18:07
帖子怎么删除啊???
http://www.52pojie.cn/home.php?mod=magic
购买悔悟卡后对自己的帖子使用即可
帖子怎么删除啊??? Andy0214 发表于 2017-6-12 18:07
帖子怎么删除啊???
自己帖子右下角有一个使用道具,购买悔悟卡。或者去站务管理区发帖 这个厉害了 不想混了吧,还留微信? 这么厉害? 又见彼岸花开 他预留的那些支付宝,微信,那些都是准备,被锁用户,通过那个渠道给打钱用的,并非绝对就是主号! 能处理干净吗