2018年4月23日至4月29日,国家互联网应急中心(简称“CNCERT”)通过自主监测和样本交换形式共发现12个锁屏勒索类的恶意程序变种,该类病毒通过对用户手机锁屏王老豹,勒索用户付费解锁,对用户财产安全造成了严重的威胁。01
样本恶意行为分析
1)恶意程序强制将自身界面置顶,致使用户手机处于锁屏状态,无法正常使用;
2)恶意程序私自重置用户手机锁屏PIN密码;
3)恶意程序监测开机自启动广播,触发开机自启动广播后,便会启动锁屏代码;
4)恶意程序预留联系方式,哈尔滨地铁招聘提示用户付费解锁利刃坊 。02
恶意样本数据共享
2.1 本次事件涉及的恶意程序变种文件MD5和程序名称信息分别如下:样本MD5程序名称48E6E6D14F50EEA3DB77D157645981F8app4174C46FAF30AF3EE691C50F63BCB655cf外挂助手激活版86BBC67E351DB673533096583B360BD8QQ互赞助手1016BC504B29542DFD5170CF726BDADBQQ免费刷名片赞39C7FD0F3D82D4377674B873029AC287QQ秒赞22E14A51A1E8DB45CD20CFE4E278A63DQQ抢红包辅助4309B01401E6CF400D0C3FB0ECF1E9D3QQ装逼代码45AF4BA384795976D3B0B9CA57DE1286QQ装逼代码91C46B22B7666BB05DAC65258F333976QQ装逼代码91F839E087B859D4EC529D82450081B7q钻免费领取92E2E622168AA24E1B9A733BE7E4E9F7vionde系统4989ECCA1CE2E41C1E446E28B8C50779晨风机器人42A5C6EE935BB414B61A634F08419AB4打网站小工具050E15AB520408F7EF2E417CF3079366二轮出品1718B9A3031E29C665A0229C0CA08197高清版37E313DF1D1B2E0F2D66F7EED983BE4B红包快抢89F5D25B434F965BCA1F589B2CC34939红包快抢4155F81FB5E90D7C463A7FE96F196F2F红包强盗(后台版)76F327E81535593F8279B439F9B97FAA荒野行动自瞄无后座压枪(手机版)43F9D428B3DC3131EF54257216CBA38D卡钻助手3438E97D32CA81CB5F24BC175C8F8B10酷跑刷钻助手43D7FDBE79BF1A1C0FED7289FD045259酷跑刷钻助手50CD0817A10296093ED41C924BF31917拉圈圈神器3982E958372B1B69F86133C8BF0B3206浪子超3317AA6B9CF55A57F2EBE266A67E21B7秒抢红包5221FCC2A3E932C46E5EEA056DFAB861秒抢红包1408D1B107D01AA26CBBBBF6B29B45AF秒抢红包82C1DA0D12B9FC5DB804A5DDA42776C4陌陌刷钻助手2736D2C79B5276DD81DFCA21CF9E23FA强少钓鱼92E0A5D13CE875269799374E5B6D1CA5抢红包64C3B7AA8DC3116676C564EA39006542手机变声器3099CAC37CB7D3C9D4E6310865FCFE37手机万能变声器38C51FBD7115AEEA5A8777E369D5BB5B刷永久会员63B30377B9DF28B3EC31FE37074F267D天天酷跑离线卡钻42B97F1F8C679BCD8182FE3EF3BBDF9C王者荣耀辅助软件1266DE5D1FB770E877650C84A2BD9888王者荣耀辅助修改器50C64E9DCBD02A00DDE544C37BB5F783无敌盗号软件81C1D3ED93E44974BBF1F176D85F6422宵小啦啦啦
2.2 本次事件威胁安全的预留联系方式信息分别如下:预留联系方式预留联系方式属性预留联系方式昵称预留联系方式头像761***819QQ号码感殇、伤感
272***486QQ号码ζ?? 傅玉斌 ?苍郎?梓 ?山岸由花子 ?兮 ??相川七濑?
420***476QQ号码Mr.
307***2086QQ号码二轮
295***5583QQ号码ζ里见八犬传 ?邢育森? 万象真经????施柳屹 ?情?孔锵??战
325***5249QQ号码sick
224***4639QQ号码浮生若梦
275***8021QQ号码??泪 依?旧 咸??
282***4077QQ号码张锡瑗。李勒优。日食妖后。
184***9524QQ号码鱼七.
239***9535QQ号码小绫
813***523QQ号码黑涩会青年¬
319***9980QQ号码小胸弟
503***051QQ号码blm.宵小
256***6214QQ号码无
210***3870QQ号码¢ 轻言自語°
268***5185QQ号码霸气?永恒
274***3520QQ号码七月孤
317***2071QQ号码浪漫满屋
891***639QQ号码沫燃?
203***4491QQ号码空白
295***5959QQ号码°沒心沒肺、無所謂 ゞ
113***8705QQ号码小新
146***6261QQ号码无
179***3892QQ号码一支笔_
110***0682QQ号码不确定的感情
135***3780QQ号码索索修
345***3904QQ号码欲望失宠ζ
305***23QQ号码ゞ雨不晴ゞ
231***7177QQ号码emmm
946***185QQ号码初心???
284***8071QQ号码好多鱼~好多余
246***1133QQ号码花纹
279***6236QQ号码与野
735***849QQ号码?阿?冷?
207***5741QQ号码A?c?t?i?v?i?t?y?-修仙童养媳?奥巴马女孩?幻想
各成员单位可登陆https://share.anva.org.cn网络安全威胁信息共享平台btava ,在用户中心页面“兑换数据”栏目中通过搜索恶意程序变种文件的MD5定向获取样本信息。成员单位兑换数据界面如下:
网络安全威胁信息共享平台
网络安全威胁信息共享平台由中国互联网协会反网络病毒联盟(ANVA)主持并建设狩猎花都, 以方便企业共享威胁信息为出发点,以建立网络安全纵深防御体系为目标,汇总基础电信运营企业、网络安全企业等各渠道提供的恶意程序、恶意地址、恶意手机号、恶意邮箱等网络安全威胁信息数据,建立公开透明、公平公正的信息评价体系,利于各企业获得想要的数据,激励企业贡献有价值的数据,促进信息共享的发展,遏制威胁信息在网络中的泛滥。
微信号:anva_official