(图片来源网络,侵删)
在安卓勒索软件沉寂了两年之后,一个新的安卓勒索软件出现了总部位于斯洛伐克布拉迪斯拉发的网络安全公司ESET于近日透露,一种被他们检测为Android/Filecoder.C的新型安卓勒索软件正在通过一些在线论坛分发一旦感染成功,Android/Filecoder.C除了会加密设备上的大多数用户并展示勒索信息以外,还会把带有恶意链接(用于下载内嵌Android/Filecoder.C的恶意APP的链接)的短信群发给联系人列表中的每一个人,以实现自我传播勒索软件借助在线论坛分发ESET还表示,Android/Filecoder.C最早应该是出现在本月12日,相关的恶意帖子至少已经在美国知名社交新闻网站Reddit和XDA Developers论坛(一个安卓开发者论坛)上出现过ESET表示,攻击者主要采用了两种形式来分发Android/Filecoder.C:一种是发帖,另一种则是评论大多数情况下,这些帖子或评论都与色情有关,旨在诱使受害者通过其中的链接或二维码下载内嵌Android/Filecoder.C的恶意APP图1. Reddit网站上的恶意帖子和评论示例图2. XDA Developers论坛上的恶意帖子和评论示例在Reddit网站上共享的一个链接中,攻击者使用短网址bit.ly这个短网址是在6月11日创建的,截止到7月29日已经被点击了59次图3. 短网址bit.ly的点击次数统计勒索软件借助短信实现自我传播如上所述,Android/Filecoder.C会把带有恶意链接(用于下载内嵌Android/Filecoder.C的恶意APP的链接)的短信群发给受感染设备联系人列表中的每一个人,以实现自我传播为了诱使潜在受害者点击链接并下载恶意APP,这些短信的内容通常都会这样写道“某某某,他们怎么能把你的照片放到这个APP上呢,我想我有必要告诉你一声”此外,为了最大化感染范围,攻击者共创建了42种不同语言版本的短信图4.带有恶意链接的短信示例图5. 在勒索软件中硬编码的42种语言版本Android/Filecoder.C技术分析从表面上看,恶意APP就如同攻击者在帖子中所描述的那样,是一款成人游戏然而,其真正的目的是执行Android/Filecoder.C,然后加密文件以及展示勒索信息一旦恶意APP被安装并运行,Android/Filecoder.C就会与命令和控制(C&C)服务器建立通信值得注意是,虽然Android/Filecoder.C包含有硬编码的C&C和比特币钱包地址,但C&C和比特币钱包地址也可以通过Pastebin服务获取,这就导致攻击者可以随时更改这些地址图6. Android/Filecoder.C从Pastebin服务获取的部分C&C地址示例Android/Filecoder.C能够遍历受感染设备上的文件(系统文件除外),并对其中大部分进行加密,文件格式包括:“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, “.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, “.key”, “.pfx”, “.der”文件被加密后,将被附加一个“.seven”扩展名图7.被加密文件示例加密完成之后,Android/Filecoder.C将展示勒索信息(如赎金金额、比特币钱包地址等)图8. Android/Filecoder.C展示的勒索信息安全建议1.请一定要及时更新你的设备,最好将它们设置为“自动修复及更新”;2.如果可能,请尽量坚持只在官方应用商店下载APP;3.在下载任何APP之前,请查看它的评级和评论,尤其是注意差评都说了什么;4.请一定要看清楚应用程序所请求的权限;5.选择一款信誉良好的杀毒软件很有必要
0 评论