Ransomware ist immer ein Problem, nicht nur für diejenigen, die sich mit Computern, sondern auch für Android-Nutzer als gut. Während die meisten Android-ransomware, die eigentlich gar nicht verschlüsseln Sie keine Dateien, die Sie gerade den Bildschirm sperren, es gibt ein paar, die das tun. Eine neue ransomware, DoubleLocker, wurde gesichtet, die von ESET-Forscher, und es ist nicht nur verschlüsselt Ihre Dateien, sondern verändert sich auch Ihr Gerät die PIN-Nummer, die im wesentlichen sperrt Sie aus Ihrem Gerät.
Die Android-malware verbreitet sich über einen bösartigen Adobe Flash update. Es erhält administrator-Rechte, legt sich selbst als Standard-Home-Anwendung verschlüsselt Ihre Dateien und ändert Ihre PIN, so dass Sie nicht auf das Gerät zugreifen. Es scheint zu sein, verbunden mit der berüchtigten Svpeng Android-banking-Trojaner, da es basiert auf dem gleichen code.
Der banking-Trojaner Svpeng ist eines der ersten Android-malware, die in der Lage war, zu stehlen Geld von Bankkonten per SMS-basierten Konto verwalten von Diensten, die gefälschte login-Bildschirme, so dass der Benutzer zu täuschen, in verlosen Ihre Anmeldeinformationen ein, und fügen Sie ransomware-Funktionen. DoubleLocker verwendet den gleichen code wie Svpeng um das Gerät zu sperren und verschlüsseln von Dateien, aber im Gegensatz zu Svpeng, es beinhaltet nicht den code zu stehlen bank-bezogene Informationen.
DoubleLocker verbreitet sich über gefälschte Adobe-Flash-Player-update
Genau wie eine Menge von malware, die beide computer und Android, dieser verbreitet sich über gefälschte Adobe Flash Update. Die Infektion ist ganz einfach, besuchen Sie eine fragwürdige website, die es anfordert, dass Sie aktualisieren Sie Ihren Adobe Flash Player um den Inhalt anzuzeigen, und sobald Sie das bösartige update, die ransomware ist im inneren.
“Einmal gestartet, die app verlangt die Aktivierung der malware, die Zugänglichkeit service namens “Google Play Service”. Nachdem die malware erhält die Zugänglichkeit Berechtigungen, verwendet er Sie, um zu aktivieren, Geräte-administrator-Rechte, und setzte sich als Standard-Home-Anwendung, in beiden Fällen ohne die Zustimmung des Benutzers,” ESET Lukáš Štefanko erklärt.
Reaktiviert jedes mal, wenn der Benutzer drückt die Home-Taste
Sobald es erhält alle notwendigen administrator-Rechte, es verschlüsselt Ihre Daten und Bildschirm sperren. Statt der üblichen hintergrund, werden Sie sehen, eine Lösegeldforderung. Im Gegensatz zu vielen anderen Android-malware, DoubleLocker nicht Ihre Dateien zu verschlüsseln, was bedeutet, es gibt wenig chance, die Sie bekommen Sie zurück. Er fügt hinzu, die .cryeye Ausdehnung auf alle betroffenen Dateien.
“Die Verschlüsselung richtig implementiert, was bedeutet, dass, leider gibt es keine Möglichkeit, die Dateien wiederherzustellen, ohne den encryption key aus der Angreifer,” Štefanko erklärt.
Wenn die malware sperrt Ihr Gerät, es ändert sich die PIN, aber nicht speichern Sie es irgendwo, so dass die kriminellen haben es nicht, und die Forscher können nicht wiederhergestellt werden. Wenn das Lösegeld bezahlt wird, die Hacker können aus der Ferne die PIN zurücksetzen, entsperren Sie Ihr Gerät.
Forscher beachten Sie auch, dass die ransomware startet, wenn der Nutzer die Home-Taste. Jedes mal, wenn Sie die Home-Taste gedrückt wird, wird die ransomware aktiviert, was bedeutet, dass selbst wenn der Benutzer verwaltet, um die Sperre zu umgehen, wenn Sie die Home-Taste drücken, wird der Bildschirm wieder gesperrt werden.
Factory reset erforderlich, um loszuwerden, DoubleLocker
Um das Gerät zu entsperren, wird der Nutzer aufgefordert werden, zu zahlen 0.0130 Bitcoin, die etwa $70. Leider gibt es keine Möglichkeit, um Daten wiederherzustellen, es sei denn, Sie haben alles gesichert vor der Infektion. Und, um loszuwerden, DoubleLocker, müssen die Benutzer führen Sie eine vollständige factory reset.
“Für gerootete Geräte, aber es ist eine Methode, um vorbei an der PIN-lock, ohne einen factory reset. Für die Methode funktioniert, das Gerät benötigt, um in der debugging-Modus, bevor die ransomware aktiviert haben. Wenn diese Bedingung erfüllt ist, dann kann der Benutzer eine Verbindung zu dem Gerät von ADB und entfernen Sie die system-Datei, wo die PIN ist gespeichert Android. Dieser Vorgang entsperrt den Bildschirm, so dass der Benutzer Zugang zu Ihrem Gerät. Dann, arbeiten im abgesicherten Modus, kann der Benutzer deaktivieren Geräte-administrator-Rechte für die malware und deinstallieren Sie es. In einigen Fällen, ein Geräte-Neustart erforderlich ist,” ESET erklärt.