安卓“勒索”病毒的威胁信息共享通报（2018-03-05—2018-03-11）

2018-03-14  (编辑：ANVA)

2018年3月5日至3月11日，国家互联网应急中心(简称“CNCERT”)通过自主监测和样本交换形式共发现23个锁屏勒索类的恶意程序变种，该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产安全造成了严重的威胁。

01

样本恶意行为分析

1）恶意程序强制将自身界面置顶，致使用户手机处于锁屏状态，无法正常使用；

2）恶意程序私自重置用户手机锁屏PIN密码；

3）恶意程序监测开机自启动广播，触发开机自启动广播后，便会启动锁屏代码；

4）恶意程序预留联系方式，提示用户付费解锁。

02

恶意样本数据共享

2.1 本次事件涉及的恶意程序变种文件MD5和程序名称信息分别如下:

样本MD5	程序名称
4B6DAFE3B78640D7E7AAE30E091C7D13	AndroidTool
1CFA4260C2168CA7BB12BA92861519B0	Lockphone
2F344A02F404CD1EA0DD0363D42ADB9A	m2破解版
7A4A336AC65693E2E3F9DB3C812339C8	QQ名片赞(日刷五万)
0B86266D9305556DBD585A2AB10DDB35	QQ装逼代码
0B9A2DD8A76E8E651A05F1D7E357B275	QQ装逼代码
2BD7CE72A8D63A28CD8BDEEF3F72643A	QQ装逼代码
2C86AD0777D9A9F44D8362220F120837	QQ装逼代码
3EC082E05D448DC44496A252D366315D	QQ装逼代码
04FFB989DFD831E739B79DCEB6B5CFA2	WIFI密码查看器
04EEE4BE1600A031A742EF98E3395BBF	安卓插件
6A5DB0F1A5E71F613634A2E7385A49E8	短信暴力轰炸
7B8B36AAC2F51439267CA591EFA81C2D	短信暴力轰炸
7E148C55C163AAAA1B5345870586C26C	短信轰炸(破解版)
3FB9291BDF0B2C0DED27635DA67DB96C	后台抢红包
4A9C2E08A04FCA62CB8DD508DB9C7084	卡钻助手
0F92D17B5604010B2CFC7C8E005EF099	看片
81B86FD88D0A4D2E36EAB7F1C043FEE8	李欣蔚专用
0AC3D4C52B858FF53447D93ABE33B3F7	魔幻粒子
3AEB7F4D6C890E05C3EBB7314851E807	抢红包
0A8F208547B503903308D06445E80AE0	手游飞车卡车VIP
2B1ADA25CB69943925BD5F34E9468619	刷名片赞
6A6F1511B32E7AF43B0B01A86E30803A	思量名片赞(破解版)

2.2 本次事件威胁安全的预留联系方式信息分别如下:

预留联系方式	预留联系方式属性	预留联系方式昵称	预留联系方式头像
257***47	QQ号码	无
287***71	QQ号码	只爱你一人!
184***924	QQ号码	TI  AMO
209***230	QQ号码	我爱你！
744***639	QQ号码	暴躁男*.z
110***3073	QQ号码	舍离断
116***1050	QQ号码	huige
129***1790	QQ号码	啊东哟
146***6261	QQ号码	‘小丑’
166***5697	QQ号码	世界设计师丶TLJ
196***7616	QQ号码	Ceek.
204***0043	QQ号码	✎﹏๓₯㎕ 挽笑
206***5540	QQ号码	♡
219***7471	QQ号码	baby
256***7975	QQ号码	‡shine—黎明‡
269***1808	QQ号码	[  男*与狗 ]
289***6885	QQ号码	华夏丨胜寒
303***1076	QQ号码	情杀孤界总创ゞ墨漓℡
307***1144	QQ号码	.  曲终人未散
307***9753	QQ号码	你演的那么真我怎么区分
331***7315	QQ号码	༒࿈那༙྇么༙྇好༙྇༒
681***431	QQ群号码	解锁群

各成员单位可登陆https://share.anva.org.cn网络安全威胁信息共享平台，在用户中心页面“兑换数据”栏目中通过搜索恶意程序变种文件的MD5定向获取样本信息。成员单位兑换数据界面如下：