移动勒索软件“又双叒叕”来了

稿源：FreeBuf.COM 2019-09-02 16:33:08

“天下熙熙皆为利来,天下攘攘皆为利往”，即PC端“永恒之蓝”勒索蠕虫病毒爆发后，这些年移动互联网也层出不穷出现各种家族勒索软件。近期，暗影移动安全实验室截获一批全新的勒索家族病毒，影响42个国家，该批勒索软件与以往的勒索软件有所不同，它没有采用常规的悬浮窗全屏置顶，Activity劫持、屏蔽虚拟按键、强制PIN码等技术，而是首先采用类似于“XX神器”式的蠕虫式传播，然后利用高强度对称和非对称算法进行加密受害者设备上的大多数文件，最后要求受害者支付比特币赎金进行解锁，期间该软件还利用色情游戏进行色诱，以及危言耸言语恐吓，真可谓“全面发力，多点开花”，手段极其疯狂。

其中，该勒索软件的典型行为如下所示：

（1）该软件会启动一个性模拟网络游戏，诱导用户安装运行，然而，它的主要目的是与服务器进行C&C通信、恶意消息的传播，以及加密/解密的实现；
（2）为了提高中招率，攻击者构造一条具有诱惑性短信，并且短信是以受害者的姓名为开头，短信中包含一个APP的下载链接，形式如：“张三，他们怎么能把你的照片放在这个APP里，我想我需要告诉你，http://xxxx.com/xxx.apk”，然后将带有传播地址的短信群发送给受害者通讯录列表中的所有人；
（3）该软件支持42种语言版本的消息模板，它会根据受害者设备语言设置，选择适当的语言消息模板发送短信（试图全球勒索）;
（4）采用RSA和AES多重加密算法加密文件，每加密一个文件将生成一个新的AES密钥，然后使用RSA公钥对该AES密钥进行再次加密，并将其追加到每个加密文件中，文件扩展名为XXX.seven，加密的模式如：(AES密钥)public_key+(文件)AES。
（5）攻击者使用免费的Pastebin服务动态更改C&C通信地址和比特币地址，以便清除任何交易记录。

一、样本信息

MD5：73D0F5DB820E8B491365E3FAA9B55498

程序名称：Seven

程序包名：net.south.seven

恶意行为：

该勒索软件主要通过群发短信进行传播，危害性极大，加密用户各类文件，破坏手机，从而勒索比特币；同时有获取用户通讯的详细信息的风险。

二、病毒整体流程

2.1病毒运行流程

病毒最开始通过C&C通信加载一个色情网页作为主页，在加密被害者文件，获取联系人信息并发送带有恶意url的短信之后，生成索要比特币作为赎金的页面，与典型的Android勒索软件不同，Seven不会通过锁定屏幕来阻止设备的使用。被害者需要支付比特币后，才能获得解密密钥。

图2-1 病毒运行流程图

2.2加解密流程

勒索软件使用非对称加密算法和对称加密算法。首先生成RSA密钥对：公钥Ke、私钥Kd。使用硬编码在程序中的RSA公钥Kpu加密私钥Kd并上传至服务器。然后随机生成AES对称密钥K用于加密文件，使用公钥Ke加密密钥K并写入被加密的文件中。作者拥有公钥Kpu对应的私钥Kpr。当支付完成，作者使用Kpr解密获得私钥Kd，将私钥Kd发送给受害者，受害者输入Kd就能解密文件中被公钥Ke加密的密钥K，即可解密文件。