Author：360移動安全團隊

0x00 摘要

---

• 手機勒索軟體是一種透過鎖住使用者移動裝置，使使用者無法正常使用裝置，並以此脅迫使用者支付解鎖費用的惡意軟體。其表現為手機觸控區域不響應觸控事件，頻繁地強制置頂頁面無法切換程式和設定手機PIN碼。
• 手機勒索軟體的危害除了勒索使用者錢財，還會破壞使用者資料和手機系統。
• 手機勒索軟體最早從仿冒防毒軟體發展演變而來，2014年5月Android平臺首個真正意義上的勒索樣本被發現。

• 截至2016年第一季度，勒索類惡意軟體歷史累計感染手機接近90萬部，從新增感染手機資料看，2015年第三季度新增感染手機接近35萬部。
• 截至2016年第一季度，共捕獲手機勒索類惡意樣本7.6萬餘個。其中國外增長迅速，在2015年第三季度爆發式增長，季度捕獲量接近2.5萬個；國內則穩步上升。
• 國外最常偽裝成色情影片、Adobe Flash Player和系統軟體更新；國內則最常偽裝成神器、外掛及各種刷鑽、刷贊、刷人氣的軟體。
• 從手機勒索軟體的技術原理看，鎖屏主要利用構造特殊的懸浮窗、Activity劫持、遮蔽虛擬按鍵、設定手機PIN碼和修改系統檔案。解鎖碼生成方式主要是透過硬編碼、序列號計算、序列號對應。解鎖方法除了直接填寫解鎖碼，還能夠透過簡訊、聯網和解鎖工具遠端控制解鎖。
• 製作方面，主要使用合法的開發工具AIDE，透過QQ交流群、教學資料、收徒傳授的方式進行指導。
• 傳播方面，主要透過QQ群、受害者、貼吧、網盤等方式傳播。
• 制馬人透過解鎖費、進群費、收徒費等方式獲取非法所得，日收益在100到300元不等，整個產業鏈收益可達千萬元。
• 從制馬人人群特點看，年齡分佈呈現年輕化，集中在90後和00後。一方面自己製作勒索軟體；另一方面又透過收徒的方式像傳銷一樣不斷髮展下線。
• 從被敲詐者人人群特點看，主要是一些經常光顧貼吧，以及希望得到各種“利器”、“外掛”的遊戲QQ群成員。
• 從預防的角度，可以透過軟體大小、名稱、許可權等方式進行甄別，同時需要提高個人安全意識，養成良好的使用手機習慣。
• 在清除方法上，可以透過重啟、360手機急救箱、安全模式、ADB命令、刷機等多種方案解決。

0x01 Android平臺勒索軟體介紹

---

一、勒索軟體定義

手機勒索軟體是一種透過鎖住使用者移動裝置，使使用者無法正常使用裝置，並以此脅迫使用者支付解鎖費用的惡意軟體。

二、勒索軟體表現形式

1)主要透過將手機觸控式螢幕部分或虛擬按鍵的觸控反饋設定為無效，使觸控區域不響應觸控事件。

2)頻繁地強制置頂頁面，造成手機無法正常切換應用程式。

3)設定手機鎖定PIN碼，無法解鎖進入手機系統。

三、勒索軟體的危害

1)敲詐勒索使用者錢財

2)加密手機檔案，破壞使用者資料

3)清除手機應用，破壞手機系統

四、勒索軟體歷史演變

• 2013年06月Android.Fakedefender，仿冒防毒軟體恐嚇使用者手機存在惡意軟體要求付費並且頂置付費提示框導致無法清除。
• 2014年05月Android.Koler，Android平臺首個真正意義上的勒索樣本。
• 2014年06月Android.Simplocker，首個檔案加密並且利用洋蔥網路的勒索樣本。
• 2014年06月Android.TkLocker，360發現首個國內惡作劇鎖屏樣本。
• 2014年07月Android.Cokri，破壞手機通訊錄資訊及來電功能的勒索樣本。
• 2014年09月Android.Elite，清除手機資料並且群發簡訊的鎖屏樣本。
• 2015年05月Android.DevLocker，360發現國內出現首個設定PIN碼的勒索樣本。
• 2015年09月Android.Lockerpin，國外出現首個設定PIN碼的勒索樣本。

0x02 Android平臺勒索軟體現狀

---

一、勒索類惡意樣本感染量

截至2016年第一季度，勒索類惡意軟體歷史累計感染手機接近90萬部，透過對比2015到2016年季度感染變化趨勢，可以看出2015年第三季度新增感染手機接近35萬部。

二、勒索類惡意樣本數量

截至2016年第一季度，共捕獲勒索類惡意樣本7.6萬餘個，透過對比2015到2016年季度變化情況，可以看出國外勒索類惡意軟體增長迅速，並且在2015年第三季度爆發式增長，季度捕獲量接近2.5萬個；反觀國內勒索類惡意軟體增長趨勢，雖然沒有爆發式增長，但是卻呈現出穩步上升的趨勢。

三、常見偽裝物件

對比國內外勒索類惡意軟體最常偽裝的軟體名稱可以看出，國外勒索類惡意軟體最常偽裝成色情影片、Adobe Flash Player和系統軟體更新這類軟體。而國內勒索類惡意軟體最常偽裝成神器、外掛及各種刷鑽、刷贊、刷人氣的軟體，這類軟體往往利用了人與人之間互相攀比的虛榮心和僥倖心理。

四、使用者損失估算

2015年全年國內超過11.5萬部使用者手機被感染，2016年第一季度國內接近3萬部使用者手機被感染。每個勒索軟體的解鎖費用通常為20、30、50元不等，按照每位使用者向敲詐者支付30元解鎖費用計算，2015年國內使用者因此遭受的損失達到345萬元，2016年第一季度國內使用者因此遭受的損失接近90萬。

0x03 Android平臺勒索軟體技術原理

---

一、鎖屏技術原理

1)利用WindowManager.LayoutParams的flags屬性

透過addView方法實現一個懸浮窗，設定WindowManager.LayoutParams的flags屬性，例如，“FLAG_FULLSCREEN”、“FLAG_LAYOUT_IN_SCREEN”配合“SYSTEM_ALERT_WINDOW”的許可權，使這個懸浮窗全屏置頂且無法清除，造成手機螢幕鎖屏無法正常使用。

2)利用Activity劫持

透過TimerTask定時監控頂層Activity，如果檢測到不是自身程式，便會重新啟動並且設定addFlags值為“FLAG_ACTIVITY_NEW_TASK”覆蓋原來程式的Activity，從而利用Activity劫持手段，達到勒索軟體頁面置頂的效果，同時結束掉原來後臺程式。目前Android5.0以上的版本已經採取了保護機制來阻止這種攻擊方式，但是5.0以下的系統仍然佔據絕大部分。

3)遮蔽虛擬按鍵

透過改寫onKeyDown方法，遮蔽返回鍵、音量鍵、選單鍵等虛擬按鍵，造成不響應按鍵動作的效果，來達到鎖屏的目的。

4)利用裝置管理器設定解鎖PIN碼

透過誘導使用者啟用裝置管理器，勒索軟體會在使用者未知情的情況下強制給手機設定一個解鎖PIN碼，導致使用者無法解鎖手機。

5)利用Root許可權篡改系統檔案

如果手機之前設定瞭解鎖PIN碼，勒索軟體透過誘導使用者授予Root許可權，篡改/data/system/password.key檔案，在使用者不知情的情況下設定新的解鎖PIN碼替換舊的解鎖PIN碼，達到鎖屏目的。

二、解鎖碼生成方式

1)解鎖碼硬編碼在程式碼裡

有些勒索軟體將解鎖碼硬編碼在程式碼裡，這類勒索軟體解鎖碼唯一，且沒有複雜的加密或計算邏輯，很容易找到解鎖碼，比較簡單。

2)解鎖碼透過序列號計算

與硬編碼的方式相比，大部分勒索軟體在頁面上都顯示了序列號，它是惡意軟體作者用來標識被鎖住的移動裝置編號。一部分勒索軟體解鎖碼是透過序列號計算得出，例如下圖中的fkey代表序列號，是一個隨機生成的數；key代表解鎖碼，解鎖碼是序列號*3-98232計算得出。這僅是一個簡單的計算例子，這種方式解鎖碼隨序列號變化而變化，解鎖碼不唯一併且可以使用複雜的計算邏輯。

3)解鎖碼與序列號鍵值對關係

還有一部分勒索軟體，解鎖碼與序列號都是隨機生成，使用鍵值對的方式保留了序列號和解鎖碼的對應關係。這種方式序列號與解鎖碼沒有計算關係，解鎖碼會經過各種加密變換，透過郵件等方式回傳解鎖碼與序列號的對應關係。

三、常見解鎖方法

1)直接輸入解鎖碼解鎖

使用者透過付給敲詐者錢來換取裝置的解鎖碼。將解鎖碼直接輸入在勒索頁面裡來解鎖螢幕，這是最常見的勒索軟體的解鎖方式之一。

2)利用簡訊控制解鎖

簡訊控制解鎖方式，就是透過接收指定的簡訊號碼或簡訊內容遠端解鎖，這種解鎖方式會暴露敲詐者使用的手機號碼。

3)利用聯網控制解鎖

敲詐者為了隱藏自身資訊，會使用如洋蔥網路等匿名通訊技術遠端控制解鎖。這種技術最初是為了保護訊息傳送者和接受者的通訊隱私，但是被大量的惡意軟體濫用。

4)利用解鎖工具解鎖

敲詐者為了方便進行勒索，甚至製作了勒索軟體配套的解鎖控制端。

0x04 Android平臺勒索軟體黑色產業鏈

---

本章主要從Android平臺勒索軟體的製作、傳播、收益角度及制馬人和被敲詐的人群特點，重點揭露其在國內的黑色產業鏈。

一、製作

（一）製作工具

國內大量的鎖屏軟體都使用合法的開發工具AIDE，AIDE是Android環境下的開發工具，這種開發工具不需要藉助電腦，只需要在手機上操作，便可以完成Android樣本的程式碼編寫、編譯、打包及簽名全套開發流程。制馬人使用開發工具AIDE只需要對原始碼中代表QQ號碼的字串進行修改，便可以製作成一個新的勒索軟體。

因為這種工具操作簡單方便，開發門檻低，變化速度快，使得其成為制馬人開發勒索軟體的首選。

（二）交流群

透過我們的調查發現，制馬人大多使用QQ群進行溝通交流，在QQ群查詢裡輸入“Android鎖機”等關鍵字後，就能夠找到很多相關的交流群。

圖是某群的群主在向群成員炫耀自己手機中儲存的鎖機原始碼

（三）教學資料

製作時不僅有文字資料可以閱讀，同時在某些群裡還提供了影片教程，可謂是“圖文並茂”

鎖機教程線上影片

鎖機軟體教程

（四）收徒傳授

在群裡，群主還會以“收徒”的方式教授其他人制作勒索軟體，在擴大自己影響力的同時，也能夠透過這種方式獲取利益。

二、傳播

透過我們的調查研究，總結出了國內勒索軟體傳播示意圖

制馬人透過QQ群、受害者、貼吧、網盤等方式，來傳播勒索軟體。

（一）QQ群

制馬人透過不斷加入各種QQ群，在群共享中上傳勒索軟體，以“外掛”、“破解”、“刷鑽”等各種名義誘騙群成員下載，以達到傳播的目的。

（二）藉助受害者

當有受害者中招時，制馬人會要求受害者將勒索軟體傳播到更多的QQ群中，以作為換取解鎖的條件。

（三）貼吧

制馬人在貼吧中以連結的方式傳播。

（四）網盤

制馬人將勒索軟體上傳到網盤中，再將網盤連結分享到各處，以達到傳播的目的。

三、收益

透過我們的調查研究，總結出了國內勒索軟體產業鏈的資金流向示意圖

制馬人主要透過解鎖費、進群費、收徒費等方式獲取非法所得，日收益在100到300元不等。

（一）收益來源

解鎖費

進群費

收徒費

（二）日均收益

制馬人透過勒索軟體的日收益在100到300元不等

（三）產業鏈收益

2015年全年國內超過11.5萬部使用者手機被感染，2016年第一季度國內接近3萬部使用者手機被感染。每個勒索軟體的解鎖費用通常為20、30、50元不等，按照每個勒索軟體解鎖費用30元計算，2015年國內Android平臺勒索類惡意軟體產業鏈年收益達到345萬元，2016年第一季度接近90萬。國內Android平臺勒索類惡意軟體歷史累計感染手機34萬部，整個產業鏈收益超過了千萬元，這其中還不包括進群和收徒費用的收益。

四、制馬人人群特點

（一）制馬人年齡分佈

從抽取的幾個傳播群中的人員資訊可以看出，制馬人的年齡分佈呈現年輕化，集中在90後和00後。

（二）制馬人人員架構

絕大多數制馬人既扮演著製作者，又扮演著傳播者的角色。他們一方面自己製作勒索軟體，再以各種方式進行傳播；另一方面又透過收徒的方式像傳銷一樣不斷髮展下線，使制馬人和傳播者的人數不斷增加，勒索軟體的傳播範圍更廣。

這群人之所以肆無忌憚製作、傳播勒索軟體進行勒索敲詐，並且大膽留下自己的QQ、微信以及支付寶賬號等個人聯絡方式，主要是因為他們年齡小，法律意識淡薄，認為涉案金額少，並沒有意識到觸犯法律。甚至以此作為賺錢手段，並作為向他人進行炫耀的資本。

五、被敲詐人人群特點

透過一些被敲詐的使用者反饋，國內敲詐勒索軟體感染目標人群，主要是針對一些經常光顧貼吧的人，以及希望得到各種“利器”、“外掛”的遊戲QQ群成員。這類人絕大多數是90後或00後使用者，抱有不花錢使用破解軟體或外掛的僥倖心理，或者為了滿足互相攀比的虛榮心，容易被一些帶有“利器”、“神器”、“刷鑽”、“刷贊”、“外掛”等名稱的軟體吸引，從而中招。

0x05 Android平臺勒索軟體的預防

---

一、勒索軟體識別方法

1)軟體大小

安裝軟體時觀察軟體包的大小，這類勒索軟體都不會太大，通常不會超過1M。

2)軟體名稱

多數勒索軟體都會偽裝成神器、外掛及各種刷鑽、刷贊、刷人氣的軟體。

3)軟體許可權

多數勒索軟體會申請“SYSTEM_ALERT_WINDOW”許可權或者誘導啟用裝置管理器，需要在安裝和使用時留意。

二、提高個人安全意識

1)可信軟體源

建議使用者在選擇應用下載途徑時，應該儘量選擇大型可信站點，如360手機助手、各軟體官網等。

2)安裝安全軟體

建議使用者手機中安裝安全軟體，實時監控手機安裝的軟體，如360手機衛士。

3)資料備份

建議使用者日常定期備份手機中的重要資料，比如通訊錄、照片、影片等，避免手機一旦中招，給使用者帶來的巨大損失。

4)拒絕誘惑

建議使用者不要心存僥倖，被那些所謂的能夠“外掛”、“刷鑽”、“破解”軟體誘惑，這類軟體絕大部分都是假的，沒有任何功能，只是為了吸引使用者中招。

5)正確的解決途徑

一旦使用者不幸中招，建議使用者不要支付給敲詐者任何費用，避免助漲敲詐者的囂張氣焰。使用者可以向專業的安全人員或者廠商尋求解決方法。

0x06 Android平臺勒索軟體清除方案

---

一、手機重啟

手機重啟後快速對勒索軟體進行解除安裝刪除是一種簡單便捷的清除方法，但這種方法取決於手機執行環境和勒索軟體的實現方法，僅可以對少部分勒索軟體起作用。

二、360手機急救箱

360手機急救箱獨有三大功能：“安裝攔截”、“超強防護”、“搖一搖防毒”，可以有效的查殺勒索軟體。

安裝攔截功能，可以讓勒索軟體無法進入使用者手機；

超強防護功能，能夠清除勒索軟體未經使用者允許設定的鎖屏PIN碼，還能自動解除安裝木馬；

搖一搖防毒可以在使用者中了勒索軟體，無法操作手機的情況下，直接殺掉木馬，有效保護使用者安全。

三、安全模式

安全模式也是一種有效的清除方案，不同的機型進入安全模式的方法可能不同，建議使用者查詢相應機型進入安全模式的具體操作方法。

我們以Nexus 5為例介紹如何進入安全模式清除勒索軟體，供使用者參考。步驟如下：

• 步驟一：當手機被鎖後長按手機電源鍵強制關機，然後重啟手機。
• 步驟二：當出現Google標誌時，長按音量“-”鍵直至進入安全模式。
• 步驟三：進入“設定”頁面，找到並點選“應用”。
• 步驟四：找到對應的惡意應用，點選解除安裝，重啟手機，清除成功。

四、ADB命令

對有一定技術基礎的使用者，在手機有Root許可權並且已經開啟USB除錯（設定->開發者選項->USB除錯）的情況下，可以將手機連線到電腦上，透過ADB命令清除勒索軟體。

針對設定PIN碼型別的勒索軟體，需要在命令列下執行以下命令：

#!bash
> adb shell
> su
> rm /data/system/password.key

針對其他型別的勒索軟體，同樣需要在命令列下執行rm命令，刪除勒索軟體安裝的路徑。

五、刷機

如以上方法都無法解決，使用者參考手機廠商的刷機指導或者到手機售後服務，在專業指導下進行刷機操作。

0x07 附錄：參考資料

---

• 【1】：Mobile security
• 【2】：FakeAV holds Android Phones for Ransom
• 【3】：Police Locker land on Android Devices
• 【4】：ESET Analyzes Simplocker – First Android File-Encrypting, TOR-enabled Ransomware
• 【5】：TkLocker分析報告
• 【6】：病毒播報之流氓勒索
• 【7】：Vandal Trojan for Android wipes memory cards and blocks communication
• 【8】：手機鎖屏勒索國內首現身
• 【9】：Aggressive Android ransomware spreading in the USA