示意圖,與新聞事件無關。

安全軟體公司ESET發現一隻新的Android勒索軟體DoubleLocker,一旦不慎下載開啟,即會加密用戶手機所有檔案或是變更手機密碼要求支付贖金。
 
DoubleLocker源自銀行木馬程式,最常見的散佈方式是透過被駭網站冒充Adobe Flash Player更新,誘使用戶下載安裝。一旦啟動後,它會以啟動「Google Play Service」的無障礙功能為名,要求使用者許可。獲得許可後,它就會啟動裝置管理權限,在不經過使用者同意下讓自己成為Android手機Home主頁的應用程式。
 
ESET惡意軟體研究人員Lukáš Štefank解釋,透過成為手機預設Home主頁程式,當使用者點擊Home鍵時,這隻勒索軟體就會立刻啟動,鎖住手機。而因為動用了無障礙服務,使用者並不知道他們已啟動勒索軟體。
 
但是他們還是會看到常見的勒索訊息,要求受害者必須在24小時內支付0.0130比特幣(下圖,約54美元或1650台幣,視時價而定)。攻擊者並建議使用者不要移除或封鎖DoubleLocker,否則就無法救回檔案。(下圖,來源:ESET)

 
DoubleLocker之所以得名,是因為它使用了兩種方法鎖住Android裝置。首先它利用AES加密演算法將裝置裏主要目錄的所有檔案加密。被它加密的檔案都會多了副檔名.cryeye。它另一個方法是變更裝置的PIN碼。新的PIN碼是隨機取得,既未儲存在裝置,也未寄到其他地方,唯有攻擊者遠端重設PIN碼才能還手機自由。研究人員指出,這也是第一次出現擁有兩種封鎖技倆的Android平台惡意程式。用戶支付贖金後,才能解密檔案或是救回Android裝置。
  
研究人員指出,將手機回復出廠設定是唯一可清除DoubleLocker勒索軟體的方法。而刷過機的裝置還有另一招;使用者可以在未啟動勒索軟體之前,透過ADB (Android Debug Bridge)介面連接裝置進入除錯模式,移除儲存PIN的系統檔案,就能避免PIN碼變更鎖機的命運。最後使用者再回到安全模式,移除該惡意程式的裝置管理員權限後將之移除。
 
不過如果還想要回被加密的檔案,除了付錢別無他法。研究人員因而建議裝置最好安裝安全軟體,並定期備份資料。

 

可加密檔案、更換手機PIN碼的勒索軟體DoubleLocker:(來源:ESET)

 


Advertisement

更多 iThome相關內容