作者:张昊
背景:
近日某国外安全厂商发现一类新的锁屏勒索软件Simplocker.A。该软件为勒索软件,运行后会将自身程序置顶,用户无法对手机进行任何操作,同时将用户SD卡上文件进行加密,向用户索要260 UAH__(约合人民币142__元__) 用于解锁,黑客可通过联网控制文件解密,联网利用了Tor匿名网络通信手段防止被跟踪。由于文件已被加密,即使通过其他手段卸载该软件,SD卡中的文件也是加密的,无法还原。
行为分析
- 运行后每隔1s将自身界面置顶,形成界面劫持。
- 遍历SD卡文件,将所有”jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf”, “doc”, “docx”, “txt”, “avi”, “mkv”, “3gp”, “mp4″格式的文件进行加密。
- 黑客通过联网控制解密,联网方式利用了Tor匿名通信技术,连接地址为http://xeyocsu7fu2vjhxs.onion/,达到将实际控制服务器地址隐藏的目的。
- 解密利用AES算法,解密密钥为jndlasf074hr
目前360手机杀毒可以全面查杀
Comments