|
“网络勒索是最完美的商业模式”,我不止一次听到这样的说法,事实也几乎如此。 WannaCry 勒索病毒风波过去已近半年,凶手抓到没?一个在全球掀起轩然大波,明目张胆抢劫的大案,就这么平息了,凶手不知还在哪个海岛度假。 一波未平一波又起,电脑勒索大案的真凶还未归案,手机勒索也开始了…… 10月13日 ESET 研究人员发现一个手机勒索软件,不仅将用户手机里的资料加密,还能修改手机解锁图案,让你无法正常使用。 倒计时、支付额、加密文件数,可以看出,界面内容同PC电脑勒索软件无异,勒索效果也同样简单粗暴。 ESET安全研究人员将这种新型手机勒索木马命名为 Doublelocker (双重锁),因为它不仅会加密用户手机里的资料文件,还会修过屏幕解锁图案或PIN码,防止受害者打开手机。 这是首次发现手机勒索软件滥用安卓系统自带“辅助功能”的案例。 “辅助功能”是安卓系统自带的特殊功能,开启后可以授权应用进行一些特殊便利性操作,但同时也需要对软件进行特殊授权。 以搜狗输入法为例,它拥有一项“智能回复”功能,号称收到对方的消息后能自动回复对应消息,不需要打字,但代价就是授权程序监控你的手机画面,用于观看和分析对方发来的消息内容。 该功能在“辅助功能”界面 ▼
Doublelocker 勒索软件利用了辅助功能可获取特殊权限的特点,将木马安装包伪装成 Adobe Flash Player 播放器,引导用户下载并开启辅助功能。 浅黑科技在该程序辅助功能授权界面发现,该程序要求的几样特殊权限:
一旦用户不注意该页面的权限,直接点击确定,手机就会被锁定。 虽然这种手法看起来非常拙劣,但如今不少手机用户在安装使用软件时并不会认真查看软件权限,给了恶意木马可乘之机。 勒索木马被授权后,会修改设备PIN码,让受害者无法使用手机,只有用户支付赎金才能远程解锁或重置密码。 然后,DoubleLocker 会将设备主要存储目录加密成 cryeye 后缀的文件,据有关专家介绍,由于勒索软件使用了高强度的 AES 加密算法,因此在没有密钥的情况下几乎无法恢复文件。
一旦中招怎么办? 相关安全人员表示,手机PIN码被改尚且好办,只需将手机连接电脑,在工程模式下清除系统数据文件即可清除屏幕锁屏图案,然后可在安全模式下卸载恶意软件。 然而,那些被加密的数据文件却很难恢复,除非支付赎金。手机勒索软件和电脑勒索软件本质上一样,要么就别中,一旦中了相当麻烦。 因此安全研究者也奉劝大家不要在非正规渠道下载安装任何软件。 网络勒索一本万利,这个商业模式现今并没遭受严厉打击。区块链数字货币的使用,让勒索者的位置更难追踪。 几乎可以预见,在越来越多设备智能化的当下,网络勒索风险也会愈发严峻,未来被勒索的可能不止是电脑和手机,或许是一辆智能汽车、或许是智能手表、或许是家里的智能电饭煲,甚至可能是……
|
|
|
