勒索软件最新出品：虚假手机解锁画面、全面进行双锁营幕攻击

如果你正在使用 Android 流动装置的话便要多加留意了！事关骇客们又有新的勒索软件出品。Symantec 安全团队今天通知我们，并证实发现 Android.Lockscreen (锁营幕恶意软件)的新变种正在通过伪随机密码，阻止受害者在不支付赎金的情况下解锁设备。

在此之前，这类勒索软件的早期版本使用硬编码密码锁定屏幕，而安全专业人士能够对代码进行反向工程，因此能为受害者提供密码解锁设备。此外，攻击者通过结合自订锁营幕和设备锁营幕来增加解锁难度。其实于过去亦曾发现针对类似流动威胁的监测显示，而此类木马程式能够在传播前直接建立在行动装置上。经过分析，安全专家发现在中国出现的此类安全威胁被称为 Android.Lockscreen(锁营幕恶意软件)。

伪随机密码

一旦行动装置感染木马，这类恶意软件便会建立一个自订的“系统错误”视窗，强行覆盖在感染设备每一个可见的 UI 之上。此时恶意软件会在视窗中显示恐吓消息，并告知受害者通过联系攻击者才能获得解锁密码。

图 1：锁营幕视窗、告知受害者如何解锁设备的系统错误视窗

此前，这类木马的旧版本使用密码来解锁样本代码中的设备硬编码，而新变种版本则淘汰了硬编码密码，并替换为伪随机编码，部分变种木马会生成六位数或八位数编码。

图 2：六位数代码的伪乱数产生器

图 3：八位数代码的伪乱数产生器

在图 2 所展示的攻击事件中，解锁密码为 137911，生成方式为:139911 – 2000 = 137911。由于使用“Math.Random()”函数计算得出的基数不同，因此每个感染设备所生成的编码也有所不同。

双锁营幕

为了增强解锁难度，这类恶意软件的作者还会结合使用伪随机密码和以往采用的攻击手段。除了使用“系统错误”视窗这类定制化锁营幕外，攻击者还会利用装置管理员许可权更改 Android 设备的正常锁营幕 PIN 密码。但值得一提的是如果使用者在设备感染之前设置了 PIN 密码，那么 Android Nougat 将会阻止攻击者使用“resetPassword()”。

Symantec 建议用户应即时采取以下措施，以抵御流动威胁：

及时更新并确保软件为最新版本 避免从陌生网站下载应用，只信任安装来自可靠来源的应用程序 密切注意应用所请求的许可权 在行动装置中安装一款合适的安全应用，以保护设备和资料安全 定期备份装置中的重要资料

原文连结：

勒索软件最新出品：虚假手机解锁画面、全面进行双锁营幕攻击

相关文章：

大多数国家和企业还未准备好进入数码平台商业模式

HKITBLOG

由一班 IT 人编写的商用 IT 网志，为您提供最深入、齐全、实用的电脑资讯、软件网志、I.T. Blog等。