1、手机勒索病毒的技术趋势与危害360烽火实验室安全专家关于我们360烽火实验室致力于Android病毒分析、移动黑产研究、移动威胁预警、Android漏洞挖掘等移动安全领域以及Android安全生态的深度研究。实验室为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案。同时也为上百家国内外厂商、应用商店等合作伙伴提供移动应用安全检测服务，全方位守护移动安全。目录3 3 破解之道1 1 彼岸花开2 2 由来已久潘多拉魔盒李逵？李鬼！狼来了！Wannacry勒索软件彼岸花手机勒索软件传播方式利用漏洞传播主动感染局域网内未安装补丁的计算机受害者通过社交网络主动下载

2、安装并运行加密方式加密算法：AES密钥：随机密钥并使用RSA 2048加密文件恢复难度：高加密算法：AES密钥：明文存储，简单变换文件恢复难度：低赎金支付比特币支付单笔支付金额较高资金追踪困难微信支付、支付宝、QQ支付单笔支付金额较低资金追踪难度低邪恶较量目录3 3 破解之道1 1 彼岸花开2 2 由来已久手机勒索软件 是指利用一种或多种技术手段，造成的后果包含但不限于锁住用户移动设备、加密设备中的数据文件、设备无法正常使用，并以此威胁用户，要求用户支付一定的费用来恢复移动设备正常的 恶意程序。定义它们是谁？2013年6月Fakedefender2014年5月Koler2014年6月Simpl

3、ocker2014年6月TkLocker2014年7月Cokri2014年9月Elite2015年5月DevLocker2015年9月Lockerpin2016年6月FLocker2017年1月Charger2017年2月XQLocker2017年7月LeaklockerAndroid.Fakedefender仿冒杀毒软件恐吓用户手机存在恶意软件要求付费并且顶置付费提示框导致无法清除。Android.KolerAndroid平台首个真正意义上的勒索样本。Android.Simplocker首个文件加密并且利用洋葱网络的勒索样本。Android.TkLocker360发现首个国内恶作剧锁屏样本。

4、Android.Cokri破坏手机通讯录信息及来电功能的勒索样本。Android.Elite清除手机数据并且群发短信的锁屏样本。Android.DevLocker360发现国内出现首个设置PIN码的勒索样本。Android.Lockerpin国外出现首个设置PIN码的勒索样本。Android.Flocker国外出现首个针对智能电视的勒索样本。Android.Charger窃取用户隐私数据的勒索样本。Android.XQLocker国内出现首个利用语音识别技术的勒索样本。Android.Leaklocker恐吓隐私泄露的勒索样本。手机勒索软件发展史07

5、5929027487884239200200000250000手机勒索样本数量国外伪装对象国外伪装对象Top10Top10国内伪装对象国内伪装对象Top10Top10Porn Player一键拉圈圈Adult Player红包神器Porn XXX Player神器XXX Adult Player小贱9.5刷赞互访刷留言Adult Hot Player无需消耗刷人气Adobe Flash Player保护精灵Video Player ADULT王者荣耀辅助Porno Player名片赞Broswer UpdateQQ刷钻助手Por

6、nPlayer久秒名片赞伪装者手机勒索软件的形式通过将手机触摸屏部分或虚拟按键的触摸反馈设置为无效，使触摸区域不响应触摸事件。频繁地强制置顶页面，造成手机无法正常切换应用程序。手机勒索软件的形式设置手机锁定PIN码，无法解锁进入手机系统。手机勒索软件的形式加密手机中的文件，索要赎金解锁文件。手机勒索软件的形式 设置特殊属性的窗口（SYSTEM_ALERT_WINDOW）Activity劫持（FLAG_ACTIVITY_NEW_TASK）屏蔽虚拟按键（onKeyDown）激活设备管理器，设置锁屏PIN 获取高权限，修改系统文件（/data/system/password.key）技术实现79%2

7、1%勒索软件开发工具AIDE其他AIDE收 徒传播者A传播者B上传木马到QQ群/贴吧/论坛/网盘禁得住诱惑的受害人群被诱惑的受害人群出售敲诈 勒索主动 传播敲诈 勒索部分人被 胁迫传播收徒Android锁屏木马木马制作者传播方式传播方式https:/ 个恶意程序；2017年上半年累计感染手机9976 台。QQ群号：30551*自2016年7月起至今有5912 个恶意程序；2017年上半年累计感染手机8159 台。窥一斑而知全豹利益输送木马制作者木马制作者传播者传播者A传播者传播者B进群收费进群收费传播者通过传播者通过QQ敲诈受害敲诈受害者者，或教唆收徒或教唆收徒受害者中招后受害者中招后，通过通

8、过QQ号号联系传播者联系传播者传播者向制作者支付软件费用传播者向制作者支付软件费用1 12 23 3解锁费解锁费学费学费通过通过QQ/微信微信/支付支付宝宝/Q币等方式进行币等方式进行支付支付支付学费受害人受害人人群特点 输入PIN码解锁 短信控制解锁 语音解锁 利用解锁工具解锁 联网控制解锁手机解锁方式目录3 3 破解之道1 1 彼岸花开2 2 由来已久 Android L（5）更新：getRunningAppProcesses、getAppTasks、Activity劫持 Android M（6）更新：动态权限模型、SYSTEM_ALERT_WINDOW Android N（7）更新：resetPassword、重置密码 Android O（8）更新：禁用窗口类型、窗口置顶操作系统 提高安全意识 及时安装手机系统更新 安装安全软件，并保持病毒库更新 从正规渠道获取应用，不安装来路不明的软件，如网盘分享、聊天软件共享文件等 中毒后不要急于卸载恶意程序，保留现场，不付费、不转账并尽快联系安全厂商求助，视情况可向公安机关报案手机用户 相关部门和组织加强监管 社交平台加强监管，及时关闭涉事账号 手机厂商适配更新系统，保持在较新的版本其他参与者谢谢