Ransomware on tulossa ongelma ei ole vain niille, jotka käyttävät tietokoneita, mutta Android käyttäjille sekä. Vaikka useimmat Android ransomware ei oikeastaan salaa tiedostoja, ne vain lukita näytön, on olemassa muutamia, jotka eivät. Uusi ransomware, DoubleLocker, on nähty SYMANTEC tutkijat, ja se ei vain salaa tiedostoja, mutta myös muuttaa laitteen PIN-koodi, joka olennaisesti lukitsee sinut ulos laitteesta. DoubleLocker Android ransomware locks your screen and encrypts your data”DoubleLocker voi muuttaa laitteen PIN-koodin, estää uhria pääsemästä niiden laitteiden, ja myös salaa tiedot se löytää niitä – yhdistelmä, jota ei ole nähty aiemmin Android ekosysteemin,” ESET report explains.

Android-haittaohjelma leviää kautta ilkeä Adobe Flash update. Se saa järjestelmänvalvojan oikeudet, asettaa itsensä oletuksena Kotiin sovellus, joka salaa tiedostot ja muuttaa PIN-koodin, joten et voi käyttää laitetta. Se näyttää olevan yhteydessä pahamaineinen Svpeng Android banking Trojan, koska se perustuu samaan koodiin.

Android ransomware locks your screen and encrypts your data

Että Svpeng banking Trojan on yksi ensimmäisistä Android-haittaohjelma, joka pystyi varastaa rahaa pankkitileiltä SMS-pohjainen tili, hallita palveluita, fake kirjautuminen näytöt niin, että käyttäjät ovat huijata antamaan pois heidän valtakirjansa, ja lisää ransomware ominaisuuksia. DoubleLocker käyttää samaa koodia kuin Svpeng lukita laitteen ja salata tiedostoja, mutta toisin kuin Svpeng, se ei sisällä koodia varastaa pankki liittyviä tietoja.

DoubleLocker leviää kautta fake Adobe Flash Player-päivitys

Aivan kuten paljon haittaohjelmia, sekä tietokoneen ja Android, tämä leviää kautta väärä Adobe Flash päivitykset. Infektio on melko helppoa, voit vierailla kyseenalainen sivusto, se pyytää, että et päivitä Adobe Flash Player, jotta voit katsella sisältöä, ja kun olet ladata haittaohjelmia päivitys, ransomware on sisällä.

”Kerran käynnistetty, sovellus pyytää aktivointi malware on saavutettavuus palvelu, nimeltään ”Google Play Palvelut”. Kun malware saa saavutettavuus käyttöoikeudet, se käyttää niitä aktivoida laitteen ylläpitäjän oikeudet ja asettaa itsensä oletuksena Kotiin sovellus, molemmissa tapauksissa ilman käyttäjän suostumusta,” ESET on Lukáš Štefanko kertoo.

Aktivoituu aina, kun käyttäjä painaa Koti-painiketta

Kun se saa kaikki tarvittavat järjestelmänvalvojan oikeudet, se salaa tiedot ja lukitsee näytön. Sen sijaan tavallista tausta, näet lunnasvaatimus. Toisin kuin monet muut Android-haittaohjelma, DoubleLocker ei salata tiedostoja, mikä tarkoittaa, että on pieni mahdollisuus, että saat ne takaisin. Se lisää .cryeye laajennus kaikki vaikutti tiedostot.

”Salaus on toteutettu asianmukaisesti, mikä tarkoittaa, että, valitettavasti, ei ole tapa palauttaa tiedostot saamatta salausavain hyökkääjät,” Štefanko kertoo.

Kun haittaohjelma lukitsee laitteen, se muuttaa PIN-koodin, mutta ei tallenna se missä tahansa, joten rikolliset eivät tarvitse sitä, ja tutkijat eivät voi palauttaa sen. Kun lunnaat on maksettu, hakkerit voivat etäyhteyden nollata PIN-koodin lukituksen laitteen.

Tutkijat huomauttavat myös, että ransomware käynnistyy, kun käyttäjä painaa Koti-painiketta. Joka kerta kun Koti-painiketta painetaan, ransomware aktivoituu, mikä tarkoittaa, että vaikka käyttäjä onnistuu ohittaa lukitse, jos he paina Koti-painiketta, näyttö olisi lukittu jälleen.

Factory reset tarpeen päästä eroon DoubleLocker

Jotta avata laitteen, käyttäjät pyydetään maksamaan 0.0130 Bitcoin, joka on noin $70. Valitettavasti ei ole tapa palauttaa tiedot, jos olet varmuuskopioinut kaiken ennen infektio. Ja jotta päästä eroon DoubleLocker, käyttäjien täytyy tehdä täydellinen tehdasasetusten palautus.

”Juurtunut laitteita, kuitenkin, on tapa ohittamaan PIN-lukko ilman tehdasasetusten palautus. Jotta menetelmä toimisi, laite piti olla debugging-tilassa ennen ransomware on aktivoitu. Jos tämä ehto ei täyty, niin käyttäjä voi muodostaa yhteyden laitteeseen ADB ja poistaa järjestelmän tiedosto, jossa PIN on tallennettu Android. Tämä toiminto avaa näytön niin, että käyttäjä voi käyttää niiden laite. Sitten, toimi vikasietotilassa, käyttäjä voi poistaa laitteen järjestelmänvalvojan oikeudet malware ja poistaa se. Joissakin tapauksissa laite uudelleenkäynnistys tarvitaan”, PANDA kertoo.

Vastaa