文件感染勒索病毒（新型勒索软件Filecoder来袭）

在安卓勒索软件沉寂了两年之后，一个新的安卓勒索软件出现了。

总部位于斯洛伐克布拉迪斯拉发的网络安全公司ESET于近日透露，一种被他们检测为Android/Filecoder.C的新型安卓勒索软件正在通过一些在线论坛分发。

一旦感染成功，Android/Filecoder.C除了会加密设备上的大多数用户并展示勒索信息以外，还会把带有恶意链接（用于下载内嵌Android/Filecoder.C的恶意APP的链接）的短信群发给联系人列表中的每一个人，以实现自我传播。

ESET还表示，Android/Filecoder.C最早应该是出现在本月12日，相关的恶意帖子至少已经在美国知名社交新闻网站Reddit和XDA Developers论坛（一个安卓开发者论坛）上出现过。

ESET表示，攻击者主要采用了两种形式来分发Android/Filecoder.C：一种是发帖，另一种则是评论。大多数情况下，这些帖子或评论都与色情有关，旨在诱使受害者通过其中的链接或二维码下载内嵌Android/Filecoder.C的恶意APP。

图1. Reddit网站上的恶意帖子和评论示例

图2. XDA Developers论坛上的恶意帖子和评论示例

在Reddit网站上共享的一个链接中，攻击者使用短网址bit.ly。这个短网址是在6月11日创建的，截止到7月29日已经被点击了59次。

图3. 短网址bit.ly的点击次数统计

如上所述，Android/Filecoder.C会把带有恶意链接（用于下载内嵌Android/Filecoder.C的恶意APP的链接）的短信群发给受感染设备联系人列表中的每一个人，以实现自我传播。

为了诱使潜在受害者点击链接并下载恶意APP，这些短信的内容通常都会这样写道“某某某，他们怎么能把你的照片放到这个APP上呢，我想我有必要告诉你一声。”

此外，为了最大化感染范围，攻击者共创建了42种不同语言版本的短信。

图4.带有恶意链接的短信示例

图5. 在勒索软件中硬编码的42种语言版本

从表面上看，恶意APP就如同攻击者在帖子中所描述的那样，是一款成人游戏。然而，其真正的目的是执行Android/Filecoder.C，然后加密文件以及展示勒索信息。

一旦恶意APP被安装并运行，Android/Filecoder.C就会与命令和控制（C&C）服务器建立通信。值得注意是，虽然Android/Filecoder.C包含有硬编码的C＆C和比特币钱包地址，但C＆C和比特币钱包地址也可以通过Pastebin服务获取，这就导致攻击者可以随时更改这些地址。

图6. Android/Filecoder.C从Pastebin服务获取的部分C＆C地址示例

Android/Filecoder.C能够遍历受感染设备上的文件（系统文件除外），并对其中大部分进行加密，文件格式包括：

“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, “.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, “.key”, “.pfx”, “.der”

文件被加密后，将被附加一个“.seven”扩展名。

图7.被加密文件示例

加密完成之后，Android/Filecoder.C将展示勒索信息（如赎金金额、比特币钱包地址等）。

图8. Android/Filecoder.C展示的勒索信息

1.请一定要及时更新你的设备，最好将它们设置为“自动修复及更新”；

2.如果可能，请尽量坚持只在官方应用商店下载APP；

3.在下载任何APP之前，请查看它的评级和评论，尤其是注意差评都说了什么；

4.请一定要看清楚应用程序所请求的权限；

5.选择一款信誉良好的杀毒软件很有必要。