Gasp virüsü, 20 yuan'e şantaj yapmak için "Glory of the King" eklentisi gibi davranıyor, "çırakları kabul ediyor" virüsü yayıyor
4 Haziran'da Leifeng.com, "böcek ilaçlarıyla" savaşmayı seven Android partisinin dikkatli olduğunu bildirdi.Son zamanlarda, popüler mobil oyun "Glory of the King" için yardımcı bir araç olarak poz veren bir cep telefonu fidye yazılımı ortaya çıktı, yani bir eklenti. Fidye yazılımı cep telefonuna yüklendikten sonra, cep telefonunun fotoğrafları, indirmeleri, bulut diskleri ve diğer dizinlerdeki kişisel dosyaları şifreleyecek ve fidye talep edecektir.
Neler oluyor? Leifeng.com, geçtiğimiz iki gün içinde olayı keşfeden 360 Güvenlik Merkezi'nin teknik kardeşi ile iletişimini sürdürdü ve sonunda birinci elden analiz istihbaratı elde etti.
İşte bu. 2 Haziran'da çocuk ayakkabılarından geri bildirim geldi. "Böcek ilacı" için bir sonraki "yardım aracı" olmak istedi ("eklenti" demek istemedim) ve sonra telefon kilitlendi ve " "Ebedi Mavi" şantaj arayüzü.
Çocuğun ayakkabıları hemen sakinleşmedi ve yardım için "çevrimiçi bekle, çok acil" mesajı verdi.
Sana 20 yuan vermek istemiyorum
Teknik adam tarafından yapılan bir ön analizin ardından, bu fidye yazılımının kullanıcıları indirmeye ve yüklemeye teşvik etmenin yanı sıra, sosyal platformlar ve PC ve cep telefonlarındaki oyun grupları aracılığıyla da yayılacağını buldu.
Belki de "Eternal Blue" nun getirdiği kötü etkiye son derece karanlık bir tapınmayla, bu fidye yazılımının yazarı şantaj sayfasını "Eternal Blue" fidye yazılımının oldukça taklit edilmiş bir bilgisayar sürümüne dönüştürdü. Yazılım çalıştıktan sonra, Android telefon kullanıcılarının masaüstü duvar kağıdı, yazılım adı ve simgeleri tahrif edilecektir. Cep telefonundaki fotoğraflar, indirmeler, bulut diskleri gibi dizinlerdeki dosyalar şifreleniyor ve kullanıcılara 20 yuan ila 40 yuan arasında değişen fidye ile gasp ediliyor. Fidyenin 3 gün ödenmemesi halinde bedelin iki katına çıkacağı, 7 gün fidye ödenmemesi halinde ise tüm şifreli dosyaların silineceği açıklandı.
Nani, bir Android kilit ekranı virüsü yapmak için çok uğraştın ve sonra 20 ila 40 yuan fidye mi istedin? "King of Glory" oyuncularımızı küçümsüyor musunuz?
En son DNF oyuncularının "ölü şişman bir ev" nedeniyle oyunculardan canlı yayın için bir takım elbise giymelerini istediğine göre, kral oyuncuların şanı tam anlamıyla ikna edilmemiş olabilir!
Teknik adam öyle düşünmüyor, bizi güvenlik araştırması yapmaya teşvik edebilir mi? 20 yuan vermeyeceğim!
Fidye yazılımı yazarı bulundu
Teknik adam bir tur derinlemesine analiz yaptı ve virüsün birçok varyantı olduğunu buldu.Jeneratör aracılığıyla farklı konfigürasyon bilgileri seçerek, şifreleme algoritmasında ve anahtar oluşturma algoritmasında rastgele değişiklikler yapabilir ve hatta üretilen virüs örneklerini gerçekleştirmeyi seçebilirsiniz. Kafa karışıklığını güçlendirin. Çok sayıdaki jeneratör türevi sürümleri sayesinde, her jeneratör, onarımın zorluğunu büyük ölçüde artıran rasgele seçim için yapılandırılabilir.
Şimdiye kadar bulunan virüs örnekleri AES ve XOR şifrelemesini kullanıyor.Kurtarmanın zorluğu rastgele konfigürasyon bilgilerinde yatıyor. Çok sayıda rastgele anahtar yöntemi karşısında, birleşik bir kurtarma yöntemi bulmak kolay değildir.
Keşfedilen rastgele yöntemlerin istatistikleri aşağıdaki gibidir:
1. Şifreleme yöntemi: AES, XOR;
2. Anahtar üretme algoritması: rastgele sayı artı sabit değer, rastgele dizge;
3. Anahtar tarafından kullanılan sabit değer farklı sürümlerde farklıdır.
Sadece fidye yazılımının "rutinini" keşfetmedi, aynı zamanda teknik adam büyük bir çaba gösterdi ve "suçlu" yu buldu. King of Glory destekli fidye yazılımı gibi görünen fidye yazılımının ayrıntılı bir analizi sonucunda, yazarın virüs geliştirmede sıklıkla kullanılan QQ numarasının 127 ***** 38 olduğu bulundu. Bununla ilişkili birden fazla yazarın QQ numarası arasında yazar 873 ** *** 82016 gibi erken bir tarihte, virüs üreticileri İnternette yayıldı. Bu virüs üreticilerinin kullanıcılarının, kullanım haklarını elde etmek için jeneratör yazarına belirli bir miktar ödemeleri gerekir.
Virüs yazarı, bunun "Ebedi Mavi" Android sürümü olduğunu iddia ediyor ve QQ alanında (şu anda silinmiş) sergiliyor.
Teknik adam yol boyunca yazarın diğer kişisel bilgilerini bile buldu Evet, kaçamazsınız.
Virüsün yayılması aslında "kabul" sistemini kullanıyor
Eve daha yakın bir yerde, yazarı ve virüs varyantını buldum ve teknik kardeş dişlerini ısırdı ve fidye yazılımı virüsünün aktarım yolunu ve araçlarını analiz etti. Bilmiyorum ama şok oldum. Bu iletişim üretim aracı aslında "öğrencileri kabul etmek" e benzer bir iletişim yöntemi kullanıyor.
1. Virüs yazarları, kendi kullanımları için virüs oluşturucuları yapar veya başkalarına bunları kullanma yetkisi verir;
2. Üretim eğitimlerini QQ grupları, Qzone aracılığıyla yayınlayın veya eğitici videolar yükleyin;
3. Yazarın çırağı, virüs üreticisini kendisi kullanması için değiştirir veya başkalarına onu kullanma yetkisi verir.
Görünüşe göre MLM organizasyonlarının yuvasını görmüş, cennete ve güneşe yan yana gideceksiniz.
Fidye yazılımının yayılması, esas olarak kullanıcıları King Glory Assistant, King Glory Güzelleştirme ve diğer araçlar gibi indirmeye teşvik eden popüler bir yazılım gibi davranmaktan geçiyor. Evet, sadece "eklenti" talebini karşılamakla kalmıyor, aynı zamanda "güzelleştirme" talebini de görüyor.
Yazar, ortaya çık, kıdemli bir "böcek ilacı" oyuncusu olduğunu düşünüyor musun?
Birkaç iletişim kanalına bir göz atalım:
Web sitesi aracılığıyla yayıldı
Virüsün statik analizi sürecinde, şüpheli virüs yazarının QQ numarasını bulduk Korelasyon analizi yoluyla, virüs oluşturucuyu yaymak için virüs yazarını 2016 gibi erken bir zamanda tespit ettik.
QQ grupları aracılığıyla yayıldı
Virüs yazarları, QQ grubu aracılığıyla virüs üretim eğitimleri yayınlar ve 10 yuan ila 20 yuan arasında değişen fiyatlarla jeneratör satarlar. Yazar, jeneratörü fidye yazılımı oluşturmak için kullanmakla kalmıyor, aynı zamanda QQ grubu aracılığıyla çevrimdışı yayılıyor ve geliştiriyor Şimdiye kadar, arkasında birden fazla çete bulunan yüzlerce virüs üreticisi bulundu.
Bu virüs üreteçleri çeşitli biçimlerde gelir, ancak orijinal yazarla doğrudan bağlantı kodlarından görülebilir.
Video boyunca yay
Son zamanlarda yazar internette yayılması için bir test videosu yayınladı. https://v.qq.com/x/page/i05086gw4a5.html.
Teknik akış: virüsün ayrıntılı analizi
Heyecanlandıktan sonra, Leifeng.com'un ağ güvenliği kanalının bir okuyucusu olarak, teknik bir denetleyici olabilirsiniz, bu nedenle teknik bir kardeşin adadığı bir virüs dalgasının ayrıntılı analizine bakın.
Temel süreç analizi
Fidye yazılımı çalıştıktan sonra, önce aralıkta 8 basamaklı rastgele bir sayı üretecektir.
1. Şifreli giriş
Yazılıma ilk kez girerken şifreleme dizisini başlatın, aksi takdirde ana sayfa bir şantaj sayfasıyla değiştirilir
2. Dosya geçişi
/ Storage / emulated / 0 / kök dizini altındaki tüm dosyaları gezinin ve android, com., Miad içeren dizinleri filtreleyin; yol, indirme (sistem indirme), dcim (kamera fotoğrafı), baidunetdisk (Baidu bulut diski) içeriyorsa, Dizindeki tüm dosyaları şifreleyin. Virüs, yalnızca dosya adında "." Bulunan 10kb ile 50mb arasındaki dosyaları şifreler.
3. Şifreleme mantığı
AES şifreleme / şifre çözme anahtarı oluşturmak için çağrı alır.
Dosyaları şifrelemek için AES algoritmasını kullanın.
Şifreleme başarılı olduktan sonra, dosyayı şu şekilde yeniden adlandırın: orijinal dosya adı + Yazılım şifre çözme artı QQ3135078046bahk + rastgele sayıyı kaldırmayın.
4. Dosya silme işlemi
Fidye belirtilen süre içinde ödenmediğinde, fidye yazılımı şifrelenmiş dosyaları silecektir.
Varyasyon özellikleri
1. Varyasyon: Anahtarı ek bir değerle değiştirin
Benzer varyantların rastgele sayı +666, rastgele sayı +520 ve rastgele sayı +1122330 gibi çeşitli sürümleri vardır.
2. Varyasyon: Gelişmiş şifreleme anahtarı oluşturma algoritması
Rastgele 10 basamaklı bir harf + sayı dizisi oluşturun.
Varyasyon 3: XOR şifreleme algoritması
Bu makale için referans kaynağı: 360 Güvenlik Merkezi'nin fidye yazılımı ile ilgili analiz raporu, orijinal başlık "Eternal Blue" Full Secret'in Android sürümüdür.
