安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播

"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F029c98fc78ad45c2b775caf2b3cea179\" img_width=\"1600\" img_height=\"800\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E在安卓勒索软件沉寂了两年之后，一个新的安卓勒索软件出现了。\u003C\u002Fp\u003E\u003Cp\u003E总部位于斯洛伐克布拉迪斯拉发的网络安全公司ESET于近日透露，一种被他们检测为Android\u002FFilecoder.C的新型安卓勒索软件正在通过一些在线论坛分发。\u003C\u002Fp\u003E\u003Cp\u003E一旦感染成功，Android\u002FFilecoder.C除了会加密设备上的大多数用户并展示勒索信息以外，还会把带有恶意链接（用于下载内嵌Android\u002FFilecoder.C的恶意APP的链接）的短信群发给联系人列表中的每一个人，以实现自我传播。\u003C\u002Fp\u003E\u003Ch1\u003E\u003Cstrong\u003E勒索软件借助在线论坛分发\u003C\u002Fstrong\u003E\u003C\u002Fh1\u003E\u003Cp\u003EESET还表示，Android\u002FFilecoder.C最早应该是出现在本月12日，相关的恶意帖子至少已经在美国知名社交新闻网站Reddit和XDA Developers论坛（一个安卓开发者论坛）上出现过。\u003C\u002Fp\u003E\u003Cp\u003EESET表示，攻击者主要采用了两种形式来分发Android\u002FFilecoder.C：一种是发帖，另一种则是评论。大多数情况下，这些帖子或评论都与色情有关，旨在诱使受害者通过其中的链接或二维码下载内嵌Android\u002FFilecoder.C的恶意APP。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F15bb90701ecd40949de1d0c2fcf96595\" img_width=\"631\" img_height=\"1024\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图1. Reddit网站上的恶意帖子和评论示例\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc76e064fda5b4b53ae98857af62784b3\" img_width=\"1034\" img_height=\"287\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图2. XDA Developers论坛上的恶意帖子和评论示例\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E在Reddit网站上共享的一个链接中，攻击者使用短网址bit.ly。这个短网址是在6月11日创建的，截止到7月29日已经被点击了59次。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fb029827600be4f759ad17e20dd9c8ff7\" img_width=\"1024\" img_height=\"783\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图3. 短网址bit.ly的点击次数统计\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E\u003Cstrong\u003E勒索软件借助短信实现自我传播\u003C\u002Fstrong\u003E\u003C\u002Fh1\u003E\u003Cp\u003E如上所述，Android\u002FFilecoder.C会把带有恶意链接（用于下载内嵌Android\u002FFilecoder.C的恶意APP的链接）的短信群发给受感染设备联系人列表中的每一个人，以实现自我传播。\u003C\u002Fp\u003E\u003Cp\u003E为了诱使潜在受害者点击链接并下载恶意APP，这些短信的内容通常都会这样写道“某某某，他们怎么能把你的照片放到这个APP上呢，我想我有必要告诉你一声。”\u003C\u002Fp\u003E\u003Cp\u003E此外，为了最大化感染范围，攻击者共创建了42种不同语言版本的短信。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fd9562fdfd494412b9622169537255786\" img_width=\"824\" img_height=\"244\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图4.带有恶意链接的短信示例\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F909713758586477c84346f399c9be01b\" img_width=\"695\" img_height=\"879\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图5. 在勒索软件中硬编码的42种语言版本\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E\u003Cstrong\u003EAndroid\u002FFilecoder.C技术分析\u003C\u002Fstrong\u003E\u003C\u002Fh1\u003E\u003Cp\u003E从表面上看，恶意APP就如同攻击者在帖子中所描述的那样，是一款成人游戏。然而，其真正的目的是执行Android\u002FFilecoder.C，然后加密文件以及展示勒索信息。\u003C\u002Fp\u003E\u003Cp\u003E一旦恶意APP被安装并运行，Android\u002FFilecoder.C就会与命令和控制（C&C）服务器建立通信。值得注意是，虽然Android\u002FFilecoder.C包含有硬编码的C＆C和比特币钱包地址，但C＆C和比特币钱包地址也可以通过Pastebin服务获取，这就导致攻击者可以随时更改这些地址。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fee39c44d790745e8af68ce4889bc37d1\" img_width=\"572\" img_height=\"153\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图6. Android\u002FFilecoder.C从Pastebin服务获取的部分C＆C地址示例\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003EAndroid\u002FFilecoder.C能够遍历受感染设备上的文件（系统文件除外），并对其中大部分进行加密，文件格式包括：\u003C\u002Fp\u003E\u003Cp\u003E“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, “.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, “.key”, “.pfx”, “.der”\u003C\u002Fp\u003E\u003Cp\u003E文件被加密后，将被附加一个“.seven”扩展名。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F036b7035bd0844a8b519bc78b9610657\" img_width=\"580\" img_height=\"1024\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图7.被加密文件示例\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E加密完成之后，Android\u002FFilecoder.C将展示勒索信息（如赎金金额、比特币钱包地址等）。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F02c552e6ed7d425ba769e8158762534a\" img_width=\"576\" img_height=\"1024\" alt=\"安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图8. Android\u002FFilecoder.C展示的勒索信息\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E\u003Cstrong\u003E安全建议\u003C\u002Fstrong\u003E\u003C\u002Fh1\u003E\u003Cp\u003E1.请一定要及时更新你的设备，最好将它们设置为“自动修复及更新”；\u003C\u002Fp\u003E\u003Cp\u003E2.如果可能，请尽量坚持只在官方应用商店下载APP；\u003C\u002Fp\u003E\u003Cp\u003E3.在下载任何APP之前，请查看它的评级和评论，尤其是注意差评都说了什么；\u003C\u002Fp\u003E\u003Cp\u003E4.请一定要看清楚应用程序所请求的权限；\u003C\u002Fp\u003E\u003Cp\u003E5.选择一款信誉良好的杀毒软件很有必要。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6720427864040161800

安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播

热门新闻

周热门

安卓用户需注意！勒索软件Filecoder来袭，正通过短信传播

华为开发者大会召开在即，鸿蒙概念多股走高，智微智能涨停

应对AI带来的安全挑战，业内专家给出这些建议

数字货币概念股集体走强，Coinbase涨超5%

市场避险情绪凸显 比特币一度下跌4%

比特币面临关键36小时！美联储利率决议与通胀数据或加剧波动

航运股跳水！芯片股走强！

比特币跌破69000美元

美国比特币ETF资金连续流入天数创纪录 期权市场押注比特币本月会新高

比特币ETF美国市场连续吸金18天破纪录 期权市场押注代币价格即将破顶

比特币下一站7.5万美元？期权交易员大举押注币价将创新高

SEC主席对以太坊ETF罕见松口：上市时间将取决于发行人回应速度

利好因素“齐聚一堂”？亿万富翁投资者：年底比特币料突破10万美元！

比特币矿商Riot收购竞争对手Bitfarms 12%股份

降息预期有所升温 比特币重新站上7万美元

大摩：维持苹果“买入”评级 全球开发者大会为关键催化剂

热门新闻

周热门

市场避险情绪凸显比特币一度下跌4%

美国比特币ETF资金连续流入天数创纪录期权市场押注比特币本月会新高

比特币ETF美国市场连续吸金18天破纪录期权市场押注代币价格即将破顶

降息预期有所升温比特币重新站上7万美元

大摩：维持苹果“买入”评级全球开发者大会为关键催化剂