打個「農藥」就可能被勒索 20 塊，究竟怎麼回事？

導語：內有病毒詳細分析，勒索病毒作者已被「扒皮」。

本文作者：李勤

今天（6月7日），同事小謝神秘兮兮地對雷鋒網編輯說，聽說王者榮耀官網推出了價值計算功能，咱倆PK一把？看看誰的賬號價值高？

切，誰玩這麼幼稚的PK？

好的，來吧。

小謝率先登陸了官網，然後出現了一個讓人……不知道怎麼說的「價值評估」。

編輯也不好意思說，你們自己看圖吧！

於是，編輯機智地宣布：我不測了，最差也是打平手！

但是，就是這麼個價值「0軟妹幣」的賬號，卻可能被人勒索 20 塊軟妹幣！

這是怎麼回事？

6 月 4 日，雷鋒網(公眾號：雷鋒網)就報道，愛打「農藥」的安卓黨小心了，最近出現一款手機勒索病毒，冒充熱門手游《王者榮耀》輔助工具，也就是外掛。該勒索病毒被安裝進手機後，會對手機中照片、下載、雲盤等目錄下的個人文件進行加密，並索要贖金。

這兩天，雷鋒網和發現此事的 360 安全中心的技術小哥保持聯繫，終於獲得了一手分析情報。

是這樣的，6 月 2 號，有童鞋反饋，他只是想下一個「打農藥」的「輔助工具」（沒好意思說「外掛」），然後手機就被鎖屏了，還出現了類似於「永恆之藍」的勒索界面。

這位童鞋一下就不淡定了，發出了「在線等，挺捉急的」求救。

20塊都不想給你

技術小哥先進行了初步分析後發現，除了誘惑用戶下載和安裝，這款勒索病毒還會通過 PC 端和手機端的社交平台、遊戲群等渠道進行傳播擴散。

也許對「永恆之藍」帶來的邪惡影響帶著極其黑暗的崇拜，這款勒索軟體的作者把勒索敲詐頁面做成了高仿電腦版的「永恆之藍」勒索病毒。軟體運行後，安卓手機用戶的桌面壁紙、軟體名稱和圖標會被篡改。手機中的照片、下載、雲盤等目錄下的文件進行加密，並向用戶勒索贖金，金額在 20 元、40 元不等。並且宣稱 3 天不交贖金，價格將翻倍，7 天不交，將刪除所有加密文件。

納尼，你辛辛苦苦做了一個安卓機鎖屏病毒，然後勒索 20 元到 40 元？你是不是看不起我們「王者榮耀」玩家？

按照上次 DNF 玩家因為一句「死肥宅」就要求玩家穿西裝直播的套路，王者榮耀玩家可能會妥妥地不服氣啊！

技術小哥不這麼想，敢挑釁我們做安全研究的？20 塊都不給你！

勒索病毒作者已被找到

技術小哥開展了一輪深度分析，發現該病毒變種較多，通過生成器選擇不同的配置信息，可以在加密演算法、密鑰生成演算法上進行隨機的變化，甚至可以選擇對生成的病毒樣本進行加固混淆。由於其生成器衍生版本眾多，每個生成器又可以進行隨機化的配置，很大程度上增加了修復難度。

簡而言之，就是童鞋，你要小心，你躲過了今天，還有明天。

目前發現的病毒樣本採用的是 AES 和異或的加密方式，其恢復難點在於隨機化的配置信息，面對眾多的密鑰隨機方式，不容易找到統一的恢復方法。

目前，已發現的隨機方式統計如下：

1、 加密方式：AES、異或；

2、 密鑰生成演算法：隨機數字加固定值、隨機字元串；

3、 密鑰使用的固定值在不同版本中不同。

不僅發現了該勒索病毒的「套路」，技術小哥一發力，找到了「罪魁禍首」。

通過對冒充王者榮耀輔助的勒索軟體進行詳細分析發現，作者在病毒開發中常使用的 QQ 號為127*****38，由此關聯到的多個作者QQ號中，作者大號873*****8早在2016年就開始在網上傳播病毒生成器。這些病毒生成器使用者需向生成器作者支付一定金額來獲取使用許可權。

病毒作者號稱這是「永恆之藍」安卓版，並在自己的 QQ 空間，大肆炫耀宣傳（目前已刪除）。

技術小哥甚至已經順藤摸瓜找到了該作者的其他個人信息，對，你跑不掉了。

病毒傳播居然採用「收徒」制

找到了作者和病毒變種後，技術小哥咬咬牙，分析出了該勒索病毒的傳播路徑和工具。不看不知道，一看嚇一跳。這個傳播製作工具居然採用類似於「收徒」的傳播方式。

1、 病毒作者製作病毒生成器自己使用或授權他人使用；

2、 通過 QQ 群、QQ 空間、或是上傳教學視頻傳播製作教程；

3、 作者徒弟修改病毒生成器，自己使用或是授權他人使用。

彷彿看了一窩傳銷組織。

勒索病毒的傳播主要是通過偽裝成當下比較火的軟體，誘使用戶下載，如王者榮耀輔助、王者榮耀美化等工具。是的，不僅照顧到「外掛」需求，還看到了「美化」需求。

作者你出來，你說你是不是資深「農藥」玩家？我們中間是不是混入了一個內鬼？！

好，辛辛苦苦招募「下線」後，這個病毒究竟是怎麼傳播的？

我們來看一下幾個傳播渠道：

通過網站傳播

靜態分析病毒過程中，我們找到疑似病毒作者的QQ號，通過關聯分析，我們定位到該病毒作者早在2016年就開始傳播病毒生成器。

看來，作者早有預謀。

通過QQ群傳播

病毒作者通過 QQ 群發布病毒製作教程，並出售生成器，價格10元、20元不等。不僅自己使用生成器生成勒索病毒，作者還通過 QQ 群傳播發展下線，目前已發現病毒生成器種類多達數百個，背後的團伙不只一人。

這些病毒生成器形式多樣，但是通過其代碼可以看出與原作者的直接聯繫。

通過視頻傳播

近期該作者在網上發布測試視頻進行傳播。https://v.qq.com/x/page/i05086gw4a5.html。

技術流：病毒詳細分析

在驚嘆之後，作為雷鋒網網路安全頻道的讀者，你也許是一個技術控，所以來看一波技術小哥傾情奉獻的病毒詳細分析。

核心流程分析

1、加密入口

首次進入軟體時啟動加密線程，否則主頁替換為勒索頁面

2、文件遍歷

遍歷根目錄/storage/emulated/0/下所有文件，過濾路徑中包含android、com.、miad的目錄；如果路徑中包含download（系統下載）、dcim（相機照片）、baidunetdisk（百度雲盤），則對該目錄下的所有文件進行加密處理。病毒只加密10kb到50mb之間、文件名中包含「.」的文件。

3、加密邏輯

調用getsss()生成AES加密/解密密鑰。

調用AES演算法加密文件。

4、文件刪除操作

指定時間內未交贖金後，勒索病毒將會對加密的文件進行刪除操作。

變種特徵

變種1： 替換密鑰附加值

類似變種還有隨機數+666、隨機數+520、隨機數+1122330等幾個版本。

變種2： 增強加密密鑰生成演算法

隨機生成字母+數字混合的10位字元串。

變種3： 異或加密演算法

本文參考資料來源：360安全中心關於該勒索病毒的分析報告，原標題為《Android版「永恆之藍」全揭秘》。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。歡迎熱情討論，轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！