又一手機勒索軟體現身：不交贖金資料將被永久性破壞

標籤：

不久前趨勢科技發現了一款惡意軟體：假設使用者不給“贖金”，病毒就會讓手機變成“板磚”。而近期出現的新勒索軟體則會利用TOR（The Onion Router）匿名服務來隱藏C＆C通訊。

依據趨勢科技偵測的AndroidOS_Locker.HBT樣本分析，我們發現這款惡意軟體會出現畫面通知使用者裝置已經被鎖住，須要支付1000盧布的贖金來解鎖。這個畫面還顯示：假設使用者拒絕支付，那麼手機上的全部資料將會被破壞。

我們所看到會出現這些行為的應用程式樣本出如今了第三方應用程式商店，盜用名稱都有：Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本號碼軟體能夠從各種不同應用程式商店下載。

（圖一、給使用者的警告資訊，使用的是俄文）

警告資訊的粗略翻譯為：

“由於下載和安裝軟體nelitsenzionnnogo，你的手機已經按照俄羅斯聯邦軍事準則民法第1252條加以鎖住。要解鎖你的手機需支付1000盧布。 你有48小時的時間支付，否則你手機上的全部資料將永久被破壞！　

1、找到近期的QIWI終端支付系統

2．使用該終端機器，並選擇補充QIWI VISA WALLET

3．輸入號碼79660624806，然後按下一步

4．會出現留言表單：輸入你的號碼去掉7ki 

5．將錢放入終端機，然後按支付 

6．收到付款後的24小時內，你的手機將會被解鎖。 

7．你能夠透過行動商店和Messenger Euronetwork支付

 注意：試圖自己解開手機會導致手機全然被鎖住，全部消失的資料將沒有機會恢複。”

使用者被要求在48小時內用QIWI付款給賬戶79660624806/79151611239/79295382310，或用Monexy付款給賬戶380982049193。

這畫面會持續地出現，不讓使用者去使用他們的手機。同一時間，格式為：Jpeg、jpg、png、Bmp、gif、pdf、doc、docx、txt、avi、mkv、3gp、mp4 的檔案也都會被加密。

勒索軟體Ransomware會通過TOR控制server的通訊裝置。儘管這並非趨勢科技第一次看到Android惡意軟體利用TOR，但卻是趨勢科技所看到第一個利用TOR的勒索軟體。想到使用者如今儲存在手機上的資料量，趨勢科技預估類似Ransomware的手機勒索軟體還會不停地發展。

對於感染此勒索軟體的使用者，可通過Android Debug Bridge來手動移除這款惡意應用程式。adb是Android SDK的一部分，能夠從Android網站免費下載。步驟例如以下：

1．安裝Android SDK到電腦上，包含adb組件

2．通過USB將受感染手機串連到電腦

3．在命令列運行：adb uninstall“org.simplelocker” 指令 

這些步驟對於Android版本號碼低於4.2.2的手機來說並沒有問題。但對4.2.2及之後版本號碼的使用者來說有一個問題：手機會跳出對話方塊來提示使用者按鍵已同意除去錯誤。然而，勒索軟體Ransomware本身的介面會將當中斷，使得手機非常難使用adb來進行移除。

並且須要注意的是，在這些案例中，使用者必須在自己手機被感染前就啟用USB去除錯誤；但是要這麼做非常困難，由於這些步驟在不同手機上可能都不一樣。此外，啟用USB去除錯誤本身就存在安全風險，由於這意味著假設攻擊者能夠拿到手機，就能夠輕易地從中取得使用者資訊，而不必在Android鎖定畫面輸入資料。

上述步驟能夠刪除勒索軟體Ransomware，卻無法恢複被鎖住的檔案。我們建議使用者使用備份來恢複檔案，無論是線上或離線備份。

（圖二、此次攻擊所用的樣本SHA1雜湊值分析）

瞭解趨勢科技，請點選連結：http://www.trendmicro.com.cn/cn/

又一手機勒索軟體現身：不交贖金資料將被永久性破壞