Olvasási idő: 3 jegyzőkönyvÁttekintés
Az egyik első alkalom, amikor a közvélemény először szemtanúja volt a zsarolóvírusok erejének, és felismerte a zsarolóvírusok erejét, amikor 2017-ben kitört a WannaCry. A kormány, az oktatás, a kórházak, az energia, a kommunikáció, a gyártás és sok más kulcsfontosságú információs infrastruktúra szektor soha nem látott veszteségeket szenvedett el. Visszatekintve, ez csak a kezdet volt. , mivel azóta számos verzió létezik, mint például a SimpleLocker, a SamSam és a WannaDecryptor.
A Comodo's Threat Research Labs hírt kapott arról, hogy a „Black Rose Lucy” ransomware új változatai támadják meg az AndroidOS rendszert.
A Black Rose Lucy rosszindulatú program nem rendelkezett zsarolóprogram-képességgel, amikor a Check Point 2018 szeptemberében felfedezte. Abban az időben Lucy egy Malware-as-a-Service (Maas) botnet és dropper Android-eszközökhöz. Most visszatért az új ransomware képességekkel, amelyek lehetővé teszik, hogy átvegye az irányítást a fertőzött eszközök felett, hogy módosítsa és telepítse az új rosszindulatú programokat.
Letöltéskor Lucy titkosítja a fertőzött eszközt, és egy váltságdíjat kérő üzenet jelenik meg a böngészőben, amely azt állítja, hogy az Egyesült Államok Szövetségi Nyomozó Iroda (FBI) üzenete az eszközön talált pornográf tartalom miatt. Az áldozatot 500 dolláros bírság megfizetésére utasítják. hitelkártya adatok megadásával, az elterjedtebb Bitcoin módszer helyett.
1. ábra: Lucy ransomware által használt forrásképek.
Elemzés
A Comodo Threat Research Center mintákat gyűjtött és elemzést végzett, amikor rájöttünk, hogy Black Rose Lucy visszatért.
Átvitel
Normál videolejátszó-alkalmazásnak álcázva, médiamegosztási hivatkozásokon keresztül, csendben települ, amikor a felhasználó rákattint. Az Android security üzenetet jelenít meg, amely arra kéri a felhasználót, hogy engedélyezze a Streaming Video Optimization (SVO) funkciót. Az „OK” gombra kattintva a rosszindulatú program hozzáférési szolgáltatási engedélyt kap. Ha ez megtörténik, Lucy képes titkosítani az áldozat eszközén lévő adatokat.
2. ábra: Lucy felugró csalási üzenet
Terhelés
A MainActivity modulon belül az alkalmazás elindítja a rosszindulatú szolgáltatást, amely ezután regisztrál egy BroadcastReceivert, amelyet az action.SCREEN_ON paranccsal hív meg, majd meghívja magát.
Ez a „WakeLock” és „WifiLock” szolgáltatás beszerzésére szolgál:
WakeLock: amely bekapcsolva tartja az eszköz képernyőjét;
WifiLock: amely bekapcsolva tartja a wifit.
Ábra 3.
C&C
A rosszindulatú programok korábbi verzióitól eltérően a TheC&Cservers egy domain, nem pedig egy IP-cím. Még ha a szerver le is van tiltva, könnyen feloldhat egy új IP-címet.
4. ábra C&C szerverek
5. ábra: A Lucy C&C szervereket használ
6. ábra: A Lucy Command & Control
Titkosítás/Dekódolás
7. ábra: Git eszközkönyvtár
8. ábra: Lucy titkosítási/visszafejtési funkciója
Váltságdíj
Miután Lucy titkosítja a fertőzött eszközt, egy váltságdíjat kérő üzenet jelenik meg a böngészőben, amely azt állítja, hogy az üzenet az Egyesült Államok Szövetségi Nyomozó Irodájától (FBI) érkezett, az eszközön talált pornográf tartalom miatt. Az áldozatot utasítják, hogy fizessen 500 dolláros bírságot a belépéssel. hitelkártya-adatokat, az elterjedtebb Bitcoin módszer helyett.
Összegzésként
A rosszindulatú vírusok fejlődtek. Sokrétűbbek és hatékonyabbak, mint valaha. Előbb-utóbb a mobil egy hatalmas ransomware támadási platform lesz.
Tippek a megelőzésre
1. Csak megbízható alkalmazásokat töltsön le és telepítsen
2. Ne kattintson semmilyen ismeretlen eredetű alkalmazásra,
3. Rendszeres, nem helyi biztonsági másolat készítése a fontos fájlokról,
4. Telepítse a víruskereső szoftvert
Kapcsolódó források
Weboldal rosszindulatú programok eltávolítása
A poszt Black Rose Lucy Back-Ransomware AndroidOS jelent meg először Comodo News és Internet Security Information.
- "
- &
- 7
- a
- szerez
- Akció
- cím
- elemzés
- android
- Alkalmazás
- alkalmazások
- mentések
- Kezdet
- Bitcoin
- Fekete
- Blokk
- botnet
- böngésző
- képességek
- Közös
- távközlés
- tartalom
- ellenőrzés
- hitel
- hitelkártya
- dátum
- eszköz
- Eszközök
- DID
- felfedezés
- kijelző
- domain
- letöltés
- könnyen
- Oktatás
- hatékony
- lehetővé
- titkosítás
- energia
- fejlődik
- példa
- FBI
- Szövetségi
- Szövetségi Nyomozó Iroda
- Ábra
- végén
- vezetéknév
- talált
- ból ből
- funkció
- megy
- Kormány
- kórházak
- HTTPS
- képek
- fontos
- információ
- Infrastruktúra
- telepíteni
- Internet
- Internet Security
- vizsgálat
- IP
- IP-cím
- IT
- maga
- Kulcs
- Labs
- linkek
- keres
- szerencse
- csinál
- malware
- gyártási
- tömeges
- Média
- több
- hír
- normális
- optimalizálás
- Más
- Fizet
- emelvény
- játékos
- pont
- hatalom
- előző
- nyilvános
- Váltságdíj
- ransomware
- Ransomware támadás
- realizált
- kapott
- nyilvántartások
- szabályos
- kutatás
- forrás
- Képernyő
- ágazatok
- biztonság
- szolgáltatás
- Megosztás
- óta
- folyó
- A
- idő
- alkalommal
- példátlan
- us
- használ
- videó
- vírusok
- wifi