Ransomware é tornar-se um problema não só para aqueles que utilizam computadores, mas para os usuários do Android. Enquanto a maioria dos Android ransomware, na verdade, não criptografar os arquivos, eles apenas bloquear a tela, há alguns que o fazem. Um novo ransomware, DoubleLocker, foi descoberto por pesquisadores da ESET, e não apenas criptografa seus arquivos, mas também altera o dispositivo do PINO, o que, essencialmente, bloqueia seu dispositivo. DoubleLocker Android ransomware locks your screen and encrypts your data“DoubleLocker pode alterar o PIN do dispositivo, impedindo que as vítimas tenham acesso a seus dispositivos, e também criptografa os dados que encontra em si – uma combinação que não tem sido visto anteriormente no ecossistema Android”, o ESET report explains.

O Android malware se espalha através de um malicioso Adobe Flash atualização. Ele ganha direitos de administrador, define-se como a página Inicial padrão do aplicativo, criptografa seus arquivos, e muda o seu PIN para que você não pode acessar o dispositivo. Ele parece estar ligada com a célebre Svpeng Android banking Trojan, como ele é baseado no mesmo código.

Android ransomware locks your screen and encrypts your data

O Svpeng banking Trojan é um dos primeiros malwares para Android que foi capaz de roubar dinheiro de contas bancárias através de SMS baseada em conta o gerenciamento de serviços, falso ecrãs de início de sessão de modo que os usuários são levados a dar suas credenciais, e adicionar ransomware apresenta. DoubleLocker usa o mesmo código Svpeng para bloquear o dispositivo e criptografar arquivos, mas, ao contrário Svpeng, não inclui o código para roubar o banco de informações relacionadas.

DoubleLocker se espalha através de falso Adobe Flash atualização do Player

Assim como um monte de malware, computador e Android, este se espalha através de um falso Adobe Flash atualizações. A infecção é muito fácil, você visita um questionável site, ele solicita que você atualizar o seu Adobe Flash Player para exibir o conteúdo, e uma vez que você baixar o mal-intencionados atualização, o ransomware é por dentro.

“Uma vez iniciado, o aplicativo solicita a ativação do malware de acessibilidade do serviço, denominado “Serviço Google Play”. Depois que o malware obtém a acessibilidade permissões, ele as usa para ativar o dispositivo de direitos de administrador e definido como o padrão Inicial da aplicação, em ambos os casos, sem o consentimento do usuário,” o ESET Lukáš Štefanko explica.

Reativa de cada vez que o usuário pressiona o botão Home

Uma vez que os ganhos de todos os necessários direitos de administrador, ele criptografa os seus dados e bloqueia o ecrã. Em vez dos habituais plano de fundo, você vai ver uma nota de resgate. Ao contrário de um monte de outros malwares para Android, DoubleLocker criptografar seus arquivos, o que significa que há pouca chance de que você vai levá-los de volta. Ele adiciona .cryeye extensão para todos os arquivos afetados.

“A criptografia é implementada corretamente, o que significa que, infelizmente, não há nenhuma maneira de recuperar os arquivos sem receber a chave de encriptação a partir de atacantes,” Štefanko explica.

Quando o malware bloqueia seu dispositivo, altere o PIN, mas não armazena-lo em qualquer lugar, de modo que os criminosos não têm, e os pesquisadores não pode recuperá-lo. Quando o resgate for pago, os hackers remotamente pode redefinir o PIN de desbloqueio do seu aparelho.

Os pesquisadores também nota que o ransomware inicia quando o usuário pressiona o botão Home. Cada vez que o botão Home botão é pressionado, o ransomware ativa, o que significa que mesmo se o usuário consegue ignorar o bloqueio, se pressionar o botão Home, a tela deve ser bloqueado novamente.

Reset de fábrica necessário a fim de se livrar de DoubleLocker

A fim de desbloquear o dispositivo, os usuários são solicitados a pagar 0.0130 Bitcoin, que é de cerca de us $70. Infelizmente, não há nenhuma maneira de recuperar os dados, a menos que você tenha feito backup de tudo antes da infecção. E a fim de se livrar de DoubleLocker, os usuários precisam para executar um reset de fábrica completo.

“Para enraizado dispositivos, no entanto, não há um método para superar o bloqueio do PIN, sem uma reposição de fábrica. Para o método de trabalho, o dispositivo necessário estar no modo de depuração antes de ransomware tem ativado. Se esta condição não for cumprida, o usuário pode se conectar ao dispositivo pela ADB e remover o arquivo de sistema onde o PIN está armazenado pelo Android. Esta operação desbloqueia a tela, de modo que o usuário pode acessar o dispositivo. Em seguida, trabalhar no modo de segurança, o usuário pode desativar o dispositivo de direitos de administrador para o malware e desinstalá-lo. Em alguns casos, um dispositivo de reinicialização é necessária,” a ESET, explica.

Deixar uma resposta