2 Remove Virus

DoubleLocker Android ransomware låser din skærm og krypterer dine data

Ransomware er ved at blive et problem, ikke kun for dem, der bruger computere, men for Android-brugere, så godt. Mens de fleste Android ransomware faktisk ikke kryptere filer, skal de bare låse skærmen, er der et par stykker, der gør. En ny ransomware, DoubleLocker, er blevet opdaget af ESET forskere, og det ikke kun krypterer dine filer, men også ændringer i enhedens PIN-kode, som i det væsentlige låse du ud af din enhed. “DoubleLocker kan ændre enhedens PIN-kode, for at forhindre ofre fra at få adgang til deres enheder, og også krypterer de data, den finder i dem – en kombination, der ikke har været set tidligere i Android økosystem,” ESET report explains.

Android-malware spreder sig via en ondsindet Adobe Flash-opdatering. Det får administrator rettigheder, angiver sig selv som standard Hjemme ansøgning, krypterer dine filer, og ændrer din PIN-kode, så du kan ikke få adgang til enheden. Det ser ud til at være forbundet til den berygtede Svpeng Android bank Trojan, da det er baseret på den samme kode.

Den Svpeng bank Trojan er en af de første Android-malware, der var i stand til at stjæle penge fra bankkonti via SMS-baseret konto administration af tjenester, falske login-skærme, således at brugerne er narret til at give væk deres legitimationsoplysninger, og tilføje ransomware funktioner. DoubleLocker bruger den samme kode som Svpeng til at låse enheden og kryptere filer, men i modsætning til Svpeng, at det ikke omfatter kode for at stjæle bank-relaterede oplysninger.

DoubleLocker spredes via falske Adobe Flash Player opdatering

Ligesom en masse af malware, både computer og Android, denne ene spredes via falske Adobe Flash opdateringer. Infektion er ganske let, du besøger en tvivlsom hjemmeside, der anmoder om, at du opdatere din Adobe Flash Player for at se indholdet, og når du downloader ondsindet opdatering, den ransomware er inde.

“Når lanceret app anmoder om aktivering af malware tilgængelighed service, kaldet “Google Play-Tjeneste”. Efter malware får adgang tilladelser, bruger dem til at aktivere enhedsadministratoren for rettigheder og indstiller sig selv som standard Hjemme anvendelse, i begge tilfælde uden brugerens samtykke,” ESET ‘ s Lukáš Štefanko forklarer.

Reaktiverer, hver gang brugeren trykker på Hjem-knappen

Når det får alle de nødvendige administratorrettigheder, er det krypterer dine data og låse din skærm. I stedet for den sædvanlige baggrund, vil du se en løsesum note. I modsætning til mange andre Android-malware, DoubleLocker ikke kryptere dine filer, hvilket betyder at der er lille chance for at du vil få dem tilbage. Det tilføjer .cryeye udvidelse til alle berørte filer.

“Den kryptering, der er implementeret korrekt, hvilket betyder, at der desværre ikke er nogen måde at gendanne de filer, uden at modtage den krypteringsnøgle fra angriberne,” Štefanko forklarer.

Når den malware, der låser din enhed, det ændrer PIN-kode, men ikke lagre den nogen steder, så de kriminelle ikke har det, og forskerne kan ikke gendanne det. Når løsesum er betalt, kan hackere fjernadgang nulstille PIN-kode, for at frigøre din enhed.

Forskere bemærk også, at ransomware lancerer når brugeren hits på Hjem-knappen. Hver gang Hjem-knappen er trykket, den ransomware aktiveres, hvilket betyder, at selv hvis brugeren formår at omgå de låse, hvis de trykker på Hjem-knappen og skærmen vil blive låst igen.

Factory reset nødvendig for at slippe af med DoubleLocker

For at låse enheden op, brugerne bliver bedt om at betale 0.0130 Bitcoin, der er omkring $70. Desværre, der er ingen måde at gendanne data, medmindre du har sikkerhedskopieret alt før infektion. Og for at slippe af med DoubleLocker, brugere er nødt til at udføre en fuld factory reset.

“For rodfæstet enheder, men der er en metode til at komme forbi PIN-lås, uden en factory reset. For den metode, til at arbejde, den enhed, der er nødvendig for at være i debugging tilstand, før den ransomware blev aktiveret. Hvis denne betingelse er opfyldt, så brugeren kan oprette forbindelse til enheden af ADB-og fjerne den system-fil, hvor PIN-koden er gemt af Android. Denne funktion låser skærmen, så brugeren kan få adgang til deres enhed. Derefter, du arbejder i fejlsikret tilstand, skal brugeren kan deaktivere enheden administrator rettigheder for malware og fjerne det. I nogle tilfælde genstarte en enhed, der er behov for,” ESET forklarer.