勒索病毒冒充王者荣耀外挂敲诈20元 黑客已被找到

通过视频传播

近期该作者在网上发布测试视频进行传播。https://v.qq.com/x/page/i05086gw4a5.html。

技术流：病毒详细分析

在惊叹之后，作为雷锋网网络安全频道的读者，你也许是一个技术控，所以来看一波技术小哥倾情奉献的病毒详细分析。

核心流程分析

勒索病毒运行后首先会生成[10000000,19999999]区间内的一个8位随机数

1、加密入口

首次进入软件时启动加密线程，否则主页替换为勒索页面

2、文件遍历

遍历根目录/storage/emulated/0/下所有文件，过滤路径中包含android、com.、miad的目录;如果路径中包含download(系统下载)、dcim(相机照片)、baidunetdisk(百度云盘)，则对该目录下的所有文件进行加密处理。病毒只加密10kb到50mb之间、文件名中包含“.”的文件。

3、加密逻辑

调用getsss()生成AES加密/解密密钥。

调用AES算法加密文件。

加密成功之后，对文件进行更名，更名为:原始文件名+.勿卸载软件解密加QQ3135078046bahk+随机数。

4、文件删除操作

指定时间内未交赎金后，勒索病毒将会对加密的文件进行删除操作。

变种特征

变种1： 替换密钥附加值

类似变种还有随机数+666、随机数+520、随机数+1122330等几个版本。

变种2： 增强加密密钥生成算法

随机生成字母+数字混合的10位字符串。

变种3： 异或加密算法