又一手机勒索软件现身：不交赎金数据将被永久性破坏

不久前趋势科技发现了一款恶意软件：如果用户不给“赎金”，病毒就会让手机变成“板砖”。而最近出现的新勒索软件则会利用TOR（The Onion Router）匿名服务来隐藏C＆C通讯。

根据趋势科技侦测的AndroidOS_Locker.HBT样本分析，我们发现这款恶意软件会出现画面通知用户设备已经被锁住，需要支付1000卢布的赎金来解锁。这个画面还显示：如果用户拒绝支付，那么手机上的所有数据将会被破坏。

我们所看到会出现这些行为的应用程序样本出现在了第三方应用程序商店，盗用名称都有：Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用这些名称的非恶意版本软件可以从各种不同应用程序商店下载。

（图一、给用户的警告信息，使用的是俄文）

上图警告信息的粗略翻译为：

“因为下载和安装软件nelitsenzionnnogo，你的手机已经依照俄罗斯联邦军事准则民法第1252条加以锁住。要解锁你的手机需支付1000卢布。 你有48小时的时间支付，否则你手机上的所有数据将永久被破坏！　

1、找到最近的QIWI终端支付系统

2．使用该终端机器，并选择补充QIWI VISA WALLET

3．输入号码79660624806，然后按下一步

4．会出现留言窗口：输入你的号码去掉7ki 

5．将钱放入终端机，然后按支付 

6．收到付款后的24小时内，你的手机将会被解锁。 

7．你可以透过行动商店和Messenger Euronetwork支付

 注意：试图自己解开手机会导致手机完全被锁住，所有消失的数据将没有机会恢复。”

使用者被要求在48小时内用QIWI付款给账户79660624806/79151611239/79295382310，或用Monexy付款给账户380982049193。

这画面会持续地出现，不让用户去使用他们的手机。同一时间，格式为：Jpeg、jpg、png、Bmp、gif、pdf、doc、docx、txt、avi、mkv、3gp、mp4 的文件也都会被加密。

勒索软件Ransomware会通过TOR控制服务器的通讯设备。虽然这并不是趋势科技第一次看到Android恶意软件利用TOR，但却是趋势科技所看到第一个利用TOR的勒索软件。想到用户现在储存在手机上的数据量，趋势科技预估类似Ransomware的手机勒索软件还会不停地发展。

对于感染此勒索软件的用户，可通过Android Debug Bridge来手动移除这款恶意应用程序。adb是Android SDK的一部分，可以从Android网站免费下载。过程如下：

1．安装Android SDK到电脑上，包括adb组件

2．通过USB将受感染手机连接到电脑

3．在命令行执行：adb uninstall“org.simplelocker” 指令 

这些步骤对于Android版本低于4.2.2的手机来说并没有问题。但对4.2.2及之后版本的用户来说有一个问题：手机会跳出对话框来提示用户按键已允许除去错误。然而，勒索软件Ransomware本身的接口会将其中断，使得手机很难使用adb来进行移除。

而且需要注意的是，在这些案例中，用户必须在自己手机被感染前就启用USB去除错误；可是要这么做很困难，因为这些步骤在不同手机上可能都不一样。此外，启用USB去除错误本身就存在安全风险，因为这意味着如果攻击者可以拿到手机，就可以轻易地从中取得用户信息，而不必在Android锁定画面输入数据。

上述步骤可以删除勒索软件Ransomware，却无法恢复被锁住的文件。我们建议用户使用备份来恢复文件，不管是在线或脱机备份。

（图二、此次攻击所用的样本SHA1哈希值分析）

了解趋势科技，请点击链接：http://www.trendmicro.com.cn/cn/