الفدية أصبحت مشكلة ليس فقط بالنسبة لأولئك الذين يستخدمون أجهزة الكمبيوتر ، ولكن لمستخدمي أندرويد. في حين أن معظم الروبوت الفدية لا فعلا أي تشفير الملفات, هم فقط قفل الشاشة, هناك عدد قليل من التي تفعل. جديد انتزاع الفدية ، DoubleLocker, وقد رصدت ESET الباحثين ، ليس فقط بتشفير الملفات الخاصة بك ولكن أيضا تغييرات الجهاز الخاص بك دبوس ، والتي أساسا أقفال لكم من جهازك.
الروبوت البرمجيات الخبيثة ينتشر عبر الخبيثة أدوبي فلاش التحديث. مكاسب حقوق المسؤول ، مجموعات نفسها الرئيسية الافتراضية التطبيق بتشفير الملفات الخاصة بك ، وتغيير الرقم السري الخاص بك حتى تتمكن من الوصول إلى الجهاز. يبدو أن تكون متصلا سيئة السمعة Svpeng الروبوت طروادة المصرفية ، كما أنه يقوم على نفس المدونة.
على Svpeng طروادة المصرفية هي واحدة من أول الروبوت البرمجيات الخبيثة التي كانت قادرة على سرقة المال من الحسابات المصرفية عبر الرسائل النصية القصيرة على أساس حساب إدارة خدمات تسجيل الدخول وهمية شاشات بحيث يمكن للمستخدمين ينخدع في التخلي عن بيانات الاعتماد الخاصة بهم ، إضافة الفدية الميزات. DoubleLocker يستخدم نفس الكود كما Svpeng لقفل الجهاز و تشفير الملفات, ولكن على عكس Svpeng ، وهو لا يتضمن رمز لسرقة بنك المعلومات ذات الصلة.
DoubleLocker ينتشر عبر وهمية أدوبي فلاش بلاير التحديث
تماما مثل الكثير من البرمجيات الخبيثة ، سواء من الكمبيوتر و الروبوت, هذا واحد ينتشر عبر وهمية أدوبي فلاش التحديثات. العدوى من السهل جدا ، يمكنك زيارة الموقع مشكوك فيها ، تطلب تحديث أدوبي فلاش لاعب من أجل عرض محتويات, و بمجرد تحميل الخبيثة التحديث ، ransomware هو في الداخل.
“بمجرد إطلاق التطبيق طلبات تفعيل البرمجيات الخبيثة خدمة الوصول اسمه “جوجل خدمة اللعب”. بعد الخبيثة يحصل على أذونات الوصول ، ويستخدم لهم لتنشيط الجهاز حقوق المسؤول وتعيين نفسها الرئيسية الافتراضية التطبيق في كل الحالات دون موافقة المستخدم ، ” ESET Lukáš Štefanko يفسر.
ينشط في كل مرة يضغط المستخدم على زر المنزل
بمجرد أن المكاسب كل ما يلزم من حقوق المسؤول ، بتشفير البيانات الخاصة بك و أقفال الشاشة. بدلا من المعتاد الخلفية, سوف ترى الفدية. على عكس الكثير من البرمجيات الخبيثة الروبوت ، DoubleLocker لا تشفير الملفات الخاصة بك ، مما يعني أن هناك فرصة ضئيلة سوف تحصل عليها مرة أخرى. فإنه يضيف .cryeye امتداد جميع الملفات المتأثرة.
“التشفير يتم تنفيذها بشكل صحيح ، مما يعني أنه للأسف لا يوجد طريقة لاستعادة الملفات دون الحصول على مفتاح التشفير من المهاجمين” Štefanko يفسر.
عندما الخبيثة أقفال الجهاز, رمز PIN ولكن لا تخزن في أي مكان ، حتى المجرمين لا يكون ذلك والباحثين لا يمكن استعادتها. عندما يتم دفع فدية للقراصنة عن بعد يمكن إعادة تعيين PIN ، فتح الجهاز.
الباحثون أيضا ملاحظة أن الفدية تطلق عندما ينقر المستخدم على زر المنزل. في كل مرة الضغط على زر الصفحة الرئيسية ، ransomware ينشط ، وهو ما يعني حتى إذا كان المستخدم تمكن من تجاوز قفل, إذا كانوا اضغط على زر المنزل ، الشاشة من شأنه أن يكون مؤمنا مرة أخرى.
مصنع إعادة تعيين اللازمة من أجل التخلص من DoubleLocker
من أجل فتح الجهاز ، ويطلب من المستخدمين لدفع 0.0130 بيتكوين الذي حول 70 دولارا. للأسف لا توجد طريقة لاسترداد البيانات ما لم يكن لديك احتياطيا كل شيء قبل الإصابة. و من أجل التخلص من DoubleLocker المستخدمين تحتاج إلى تنفيذ كامل مصنع إعادة تعيين.
“على أجهزة الجذور ، ومع ذلك ، هناك طريقة لتجاوز قفل دبوس دون ضبط المصنع. عن طريقة عمل الجهاز تحتاج إلى أن تكون في وضع التصحيح قبل الفدية يجب تفعيلها. إذا كان هذا الشرط ، ثم يمكن للمستخدم الاتصال إلى الجهاز عن طريق ADB و إزالة ملفات النظام حيث دبوس يتم تخزينها من قبل الروبوت. هذه العملية يفتح الشاشة بحيث يمكن للمستخدم الوصول إلى الجهاز. ثم يعمل في الوضع الآمن ، يمكن للمستخدم تعطيل الجهاز حقوق المسؤول عن البرمجيات الخبيثة و إزالة تثبيته. في بعض الحالات إعادة تشغيل الجهاز هو مطلوب ، ” ESET يفسر.