安卓版「永恆之藍」病毒揭秘

前幾天逛看雪發現有人求助遇到了勒索病毒，很興奮的下載看看（不是幸災樂禍）。

這是一個低仿版的「永恆之藍」勒索病毒，為什麼稱其低仿呢？因為他完全是仿製了Windows永恆之藍的界面以及令人髮指的勒索功能的山寨品，而整體的技術含量與該病毒作者的人品以及能力一樣low。

好了，一起來分析一下這款病毒吧（一周一篇文章，所以寫的很詳細，請耐心觀看），

首先放個我真機測試的圖

01

初步分析

使用騰訊哈勃分析提示沒有發現風險，真不靠譜！還以為騰訊應該把此病毒加入病毒庫了呢，人工查殺一下

使用壓縮管理器打開apk，原來數字公司已經將該樣本列入病毒庫。

從以上截圖我們還得到軟體經過以下保護措施：

騰訊樂固

res資源混淆

迎面而來的第一個問題就是脫殼了（無力吐槽還是某訊的樂固，病毒保護傘？），為了某加固廠商利益，這裡略去脫殼細節

脫殼前dex

脫殼後dex

02

深入分析

脫殼後病毒作者的拙劣代碼一覽無餘，「紅顏一笑儘是傷」（還挺傷感，多愁善感就能做壞事嗎）一起分析一下程序的惡意行為

首先分析入口類的onCreate方法

通過以上代碼得到了不少有用的信息，那麼程序是怎麼進行文件加密的呢？

我們注意第45行會啟動一個線程，跟蹤一下

靜態分析完病毒的加密流程，我們已經可以自己寫代碼來批量解密被加密的文件了。但是高興的有點早，AES加密的key依賴於變數m，變數m依賴於序列號和HongYan字元串數組，所以最終還是要拿其開刀

03

淺出分析

回到分析HongYan數組的由來

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！