Ransomware staje się problemem nie tylko dla tych, którzy korzystają z komputerów, ale dla użytkowników systemu Android. Podczas gdy większość Android ransomware faktycznie nie szyfruj wszystkie pliki, oni po prostu zablokować ekran, istnieje kilka, co robić. Nowy ransomware, DoubleLocker, został zauważony przez firmę ESET naukowców, i nie tylko szyfruje pliki, ale i zmienia kod PIN urządzenia, które w rzeczywistości blokuje ci z urządzenia.
Złośliwego oprogramowania dla systemu Android jest za szkodliwe aktualizacja Adobe flash. Otrzymuje uprawnienia administratora, instaluje się jako domowego zastosowania domyślnie szyfruje pliki i zmienia swój kod pin, tak, że nie może uzyskać dostęp do urządzenia. Jest to podobno związane z notorycznie porywacza Trojanów dla systemu Android-banking, ponieważ jest on oparty na tym samym kodzie.
Ten element Trojana bankowego jest jednym z pierwszych złośliwego oprogramowania dla systemu Android, które udało się ukraść pieniądze z kont bankowych za pośrednictwem SMS-zarządzanie kontem usługi, fałszywy ekran logowania, dzięki czemu użytkownicy mogą wprowadzać w błąd, podając swoje dane logowania, a następnie dodaj funkcje ” ransomware. DoubleLocker wykorzystuje ten sam kod, jak element do blokowania urządzenia i szyfrowania plików, ale w przeciwieństwie do svpeng, są niebezpieczne, nie zawiera w sobie kod do kradzieży informacji związanych z bankiem.
DoubleLocker rozprzestrzenia się za pośrednictwem fałszywych aktualizacji Adobe Flash player
Jak wiele szkodliwych programów, jak komputer i android, to rozprzestrzenia się za pośrednictwem fałszywych aktualizacji Adobe flash. Zakażenie dość proste, wchodzisz na podejrzane witryny, prosi, aby uaktualnić twój Adobe Flash player, aby wyświetlać zawartość, i po tym, jak pobrać malware aktualizacji, ransomware wewnątrz.
„Po uruchomieniu aplikacja poprosi o podłączenie usługi dostępu złośliwego oprogramowania, o nazwie „usługi Google play”. Po tym, jak szkodliwy program otrzymuje prawa dostępu, używa ich, aby aktywować prawa administratora urządzenia i określają siebie jako stronę główną aplikacji domyślnie, w obu przypadkach bez zgody użytkownika,” od ESET Łukasz Štefanko wyjaśnia.
Włącza się za każdym razem, gdy użytkownik kliknie przycisk Home
Jak tylko otrzyma wszystkie niezbędne uprawnienia administratora, szyfruje twoje dane i blokuje ekran. Zamiast zwykłego tła, zobaczysz wiadomość. W przeciwieństwie do wielu innych szkodliwych programów dla Androida, DoubleLocker czy zaszyfrować swoje pliki, a więc jest mała szansa, dostaniesz je z powrotem. On dodaje .rozszerzenie cryeye dla wszystkich zagrożonych plików.
„Szyfrowanie odbywa się prawidłowo, co oznacza, że, niestety, nie ma sposobu, aby przywrócić pliki bez uzyskania klucza szyfrowania z napastników,” Štefanko wyjaśnia.
Kiedy złośliwe oprogramowanie blokuje urządzenie, zmienia kod PIN, ale nie przechowywać go w dowolnym miejscu, dlatego przestępcy nie mają, a naukowcy nie mogą go odzyskać. Gdy okup zapłacony, hakerzy mogą zdalnie zresetować kod PIN odblokowanie urządzenia.
Naukowcy podkreślają również, że program uruchamia się, gdy użytkownik kliknie przycisk Home. Za każdym razem po naciśnięciu przycisku do domu, ransomware aktywuje, co oznacza, że nawet jeśli użytkownik można obejść blokadę, jeśli są one naciśnij przycisk Home, ekran zostanie ponownie zablokowana.
Reset jest potrzebny do tego, aby pozbyć się DoubleLocker
Aby odblokować urządzenie, użytkowników płacić 0.0130 Btc, która wynosi około 70 dolarów. Niestety, nie ma sposobu, aby odzyskać dane, Jeśli nie zachowane wszystkie do zakażenia. I do tego, aby pozbyć się DoubleLocker, użytkownicy muszą wykonać pełny reset.
„Dla zakorzenionych urządzeń, jednak istnieje sposób, aby ominąć blokadę pin-bez resetowania ustawień. Metody pracy, urządzenie musi być w trybie debugowania do ransomware zaktywizowali. Jeśli ten warunek jest spełniony, użytkownik może połączyć się z urządzeniem przez adb i zdjąć systemu plików, gdzie pin jest przechowywany na Android. Operacja ta odblokowuje ekran, tak że użytkownik może uzyskać dostęp do swojego urządzenia. Potem, pracując w trybie awaryjnym, użytkownik może wyłączyć prawa administratora urządzenia malware i usuń go. W niektórych przypadkach, wymagane jest ponowne uruchomienie urządzenia,” ESET wyjaśnia.