勒索病毒冒充王者榮耀外掛敲詐20元 黑客已被找到

通過視頻傳播

近期該作者在網(wǎng)上發(fā)布測試視頻進行傳播。https://v.qq.com/x/page/i05086gw4a5.html。

技術流：病毒詳細分析

在驚嘆之后，作為雷鋒網(wǎng)網(wǎng)絡安全頻道的讀者，你也許是一個技術控，所以來看一波技術小哥傾情奉獻的病毒詳細分析。

核心流程分析

勒索病毒運行后首先會生成[10000000,19999999]區(qū)間內(nèi)的一個8位隨機數(shù)

1、加密入口

首次進入軟件時啟動加密線程，否則主頁替換為勒索頁面

2、文件遍歷

遍歷根目錄/storage/emulated/0/下所有文件，過濾路徑中包含android、com.、miad的目錄;如果路徑中包含download(系統(tǒng)下載)、dcim(相機照片)、baidunetdisk(百度云盤)，則對該目錄下的所有文件進行加密處理。病毒只加密10kb到50mb之間、文件名中包含“.”的文件。

3、加密邏輯

調(diào)用getsss()生成AES加密/解密密鑰。

調(diào)用AES算法加密文件。

加密成功之后，對文件進行更名，更名為:原始文件名+.勿卸載軟件解密加QQ3135078046bahk+隨機數(shù)。

4、文件刪除操作

指定時間內(nèi)未交贖金后，勒索病毒將會對加密的文件進行刪除操作。

變種特征

變種1： 替換密鑰附加值

類似變種還有隨機數(shù)+666、隨機數(shù)+520、隨機數(shù)+1122330等幾個版本。

變種2： 增強加密密鑰生成算法

隨機生成字母+數(shù)字混合的10位字符串。

變種3： 異或加密算法