06月06, 2014

Simplocker分析报告

作者:张昊

背景:

近日某国外安全厂商发现一类新的锁屏勒索软件Simplocker.A。该软件为勒索软件,运行后会将自身程序置顶,用户无法对手机进行任何操作,同时将用户SD卡上文件进行加密,向用户索要260 UAH__(约合人民币142__元__) 用于解锁,黑客可通过联网控制文件解密,联网利用了Tor匿名网络通信手段防止被跟踪。由于文件已被加密,即使通过其他手段卸载该软件,SD卡中的文件也是加密的,无法还原。

行为分析

  1. 运行后每隔1s将自身界面置顶,形成界面劫持。

image1

image2

  1. 遍历SD卡文件,将所有”jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf”, “doc”, “docx”, “txt”, “avi”, “mkv”, “3gp”, “mp4″格式的文件进行加密。

image3

  1. 黑客通过联网控制解密,联网方式利用了Tor匿名通信技术,连接地址为http://xeyocsu7fu2vjhxs.onion/,达到将实际控制服务器地址隐藏的目的。

image4

  1. 解密利用AES算法,解密密钥为jndlasf074hr

image5

目前360手机杀毒可以全面查杀

image6

本文链接:http://blogs.360.cn/post/analysis_of_simplocker.html

-- EOF --

Comments