王者荣耀爆勒索病毒，玩家手机可能被锁

本文讲的是王者荣耀爆勒索病毒，玩家手机可能被锁，

上个月初，趋势科技检测到移动勒索软件SLocker再次出现变异，并将其命名为ANDROIDOS_SLOCKER.OPST，该变种已经会伪装成WannaCry的攻击界面，让受害人误以为他们是遭受了WannaCry的攻击。

SLocker恶意软件家族是现存使用时间最长的移动锁屏和文件加密勒索软件之一，使用AES加密算法，然后要求受害者支付赎金才提供解密密钥。SLocker大约有400个变种，其中大多数变种会进行伪装，包含改变图标、应用程序名称、执行程序等，隐藏恶意程序的签名，避免被杀毒软件检测到。SLocker会隐藏在第三方来源的Android应用商店里，用户手机一旦被感染，屏幕就会立刻被锁住，并在勒索信中恐吓受害者，若不支付赎金，他们就威胁受害者将他们的个人资料泄露出去。

SLocker在经过了几年的沉寂之后，于去年5月又重新出现了，当时新发现的SLocker已经可以对Android文件进行加密了。虽然当时它已经能够在移动设备上加密文件了，但造成的危害却特别小，因为该变体被发现后不久，解密工具就被开发出来了。五天后，负责赎金的嫌疑人就被中国警方逮捕了。幸运的是，由于传播渠道有限（主要通过QQ群和公告板系统等论坛传播），受害人人数很少，下图就是SLocker变体的感染时间段：

趋势科技获得的ANDROIDOS_SLOCKER.OPST原始样本就是从王者荣耀的一键秒杀辅助脚本中发现的，ANDROIDOS_SLOCKER.OPST原始样本伪装成辅助脚本，当游戏玩家安装次功能时，就会中招，并出现与WannaCry相似的勒索界面：

另外，该样本会伪装成游戏指南，视频播放器等，以引诱用户进行安装。首次安装时，其图标看起来像一个普通的游戏指南或作弊工具。一旦样本开始运行，恶意应用程序将更改图标和名称，并对受感染的手机进行锁屏。

SLocker还发布了“com.android.tencent.zdevs.bah.MainActivity”的禁用活动别名。然后，通过禁用原始活动并启用别名来更改其图标，下图就是运行后，SLocker的图标和名称发生变化：

SLocker如何加密文件

当游戏玩家安装了SLocker后，它会开始检查其运行的环境，如果不利于恶意程序的运行，它会生成一个随机数，并将其存储在SharedPreferences中，这是保存持久性应用程序数据的位置，然后它将找到设备的外部存储目录并启动一个新线程。

该线程将首先通过外部存储目录来查找符合特定要求的文件：

1.目标文件的小写路径不能包含“/”，“android”，“com”和“miad”

2.使用外部存储作为根目录，目标文件应位于目录级别小于3的目录中，或者小写文件路径包含“baidunetdisk”，“download”或“dcim”

3.文件名必须包含 “.”，加密文件名的字节长度应小于251

4.该文件必须大于10 KB且小于50 MB

SLocker不会加密系统文件，而是对下载的文件和图片进行加密，并且只会加密具有后缀（文本文件，图片，视频）的文件。当找到满足所有要求的文件时，线程将使用ExecutorService（一种Java运行异步任务的方法）来运行新任务，下图就是新任务开始的部分代码：

新任务将使用名为“getsss”的方法来将先前生成的随机数转换成密码，该方法会计算随机数的MD5，并从MD5的十六进制表示中选择16个字符作为字符串。生成字符串后，在使用AES加密文件之前，SLocker将它提供给SecretKeySpec来构建AES的最终密钥，下图就是“getsss”方法的部分代码：