E安全8月4日讯，Trend Micro公司的安全研究人员们发现一种新型SLocker变种，它在Android平台上直接套用加密勒索软件WannaCry的图形用户界面。这一新型SLocker移动勒索软件变种被检测为ANDROIDOS_SLOCKER.OPSCB，它主要利用中国社交工具QQ应用程序新功能中的持久锁屏功能。

该恶意文件加密勒索软件于2017年7月被研究人员发现并分析。SLocker直接套用了WannaCry的图形用户设计界面。尽管中国警方已经逮捕了该勒索软件的创始人，但其他SLocker操作者目前仍然未被逮捕归案。

受害者主要是从QQ聊天群组当中收取到该移动恶意软件，且攻击者专门针对与高人气游戏《王者荣耀》相关的群组进行攻击。该勒索软件被伪装成一款游戏作弊工具，并使用“钱来了”或者“王者荣耀修改器”等名称。《王者荣耀》目前在中国极受欢迎，日活跃用户5000万，拥有约2亿注册用户，其中1.08亿的女性玩家，这个数字已超过阿根廷和加拿大的人口总和。如果玩家不慎安装该恶意软件，可能将导致个人重要资料全部丢失，给自身造成重大损失。

SLocker变种的样本包名为“com.android.admin.hongyan”以及“com.android.admin.huanmie”。其中的“红颜”与“幻灭”拼音常见于中国青少年人气小说当中。

图一：勒索说明截屏内容

图二：加密文件截屏。其中提到“文件已被幻灭劫持”。

除了软件图形界面之外，新变种中还包含其它一些设计变更。可在恶意勒索软件运行之后更改设备壁纸，除此以外，这一新型SLocker病毒变体与其前身再无相似之处。与ANDROIDOS_SLOCKER.OPST不同，新版本病毒利用Android集成开发环境（简称AIDE）所构建，该程序可用于直接在Android设备上开发Android应用。值得强调的是，AIDE能够帮助勒索软件操作人员更为轻松地开发简单Android软件包（即APK），且极低的入门门槛可以吸引更多新人开发属于自己的变种版本。

实际上，图一所示的“ADDING GROUP”文本会将受害者重新定向至某QQ群组，并在这里沟通赎金支付方式，攻击者以此谋取暴利。

图三：QQ群组页面截图。

此页面题为“锁机幼稚园”，QQ群创建于2017年5月16日。说明宣称，该群组的主要功能在于教授锁机技术，且其中的源码将不断更新。在页面下方另有一个按钮，显示“申请加群”。

除此之外，另有一段“联系我们”文本，其中包含此前其它移动勒索软件所不具备的勒索声明。一经点击，受害者的QQ对话窗口即会弹出，可供其与勒索软件操作人员通信以讨论文件解密事宜。

通过浏览该疑似勒索软件操作人员的QQ个人信息页面，我们还发现其中提到要解决文件，受害者必须接听电话并根据对方的指示进行操作。

图四：受害者与勒索软件操作人员间的QQ聊天窗口。

另外，此变种还特别用到了非恶意应用程序中的合法证书，旨在避免自身被反病毒厂商列入黑名单。这些证书可以从谷歌的各Android开源项目当中免费下载。另外，其该变种还使用合法的云存储服务（bmob），勒索软件操作人员可利用其变更解密密钥。

图五：新变种的打包结构。

尽管显示出更为高级的设计要素，但该变种本身的加密过程并不算特别复杂。虽然该病毒的前身使用HTTP、TOR或XMPP与C&C远程服务器进行通信，新变种甚至都未使用任何C&C通信技术。

在执行时，会随意对SD卡上的所有文件类型进行加密，其中包括缓存、系统日志以及tmp文件夹等，对于移动用户相对不太重要的数据。前代版本在加密过程中会排除此类文件，而仅针对微软Office文档、视频以及图像等更加重要的文件格式。根据样本来看，该变种似乎使用AES加密算法与已经过时的DES加密算法——这再次证明其技术水平相当有限。

图六：DES加密算法当中的代码片段。

也许是为了弥补对SD卡中所有文件进行加密的小缺陷，该新变种加入了锁屏以拒绝访问的功能。如果受害者点击赎金记录中的解密按钮，则会弹出设备管理员界面; 而只要受害者点击取消按钮，该病毒将执行持久锁屏。如果受害者直接点击激活按钮，则该变种会设置或重置设备PIN码以拒绝用户操作。

图七：设备管理员UI截屏。

图八：PIN码锁屏截图。

虽然这一变种的SLocker版本的加密过程存在一定程度的缺陷，但其引入的新功能进行持久锁屏，仍然值得QQ用户与移动游戏玩家的高度关注——勒索软件操作人员的攻击手段正变得日趋娴熟。而此新变种迅速的扩散态势亦表明，其幕后黑手并没有放缓推进脚步。

以下建议内容能够防止您的设备受该勒索软件感染 ：

• 不要轻信软件诱惑而下载，多数勒索软件都会伪装成神器、外挂、辅助及各种刷钻、刷赞、刷人气的软件，没有任何功能，只为吸引用户中招;
  

• 仅从谷歌Play商店等合法应用商店处下载并安装应用；

• 请注意应用程序要求的权限，特别是允许应用程序在外部存储上获取读取/写入权限；

• 定期备份您的数据——可备份在其它安全设备或者云端；

• 安装全面反病毒解决方案。