Uwaga na wirus DoubleLocker!

napisał(a) Przemysław Zdebski - Październik 18

Uwaga na wirus DoubleLocker!

Badacze z ESET wykryli pierwsze na świecie oprogramowanie ransomware na Androidzie. Wirus DoubleLocker nie tylko szyfruje nasze dane, ale także blokuje urządzenie.

DoubleLocker opiera swoje działanie na popularnym trojanie bankowym, który wykorzystuję fakt, że Android rozdaję dostęp do różnych usług w Twoim telefonie jak krupier karty w kasynie. Jednak wirus nie wymarzę Twojego konta jak w przypadku wspomnianego ransomware’u, zamiast tego zablokuję dostęp do urządzenia oraz zaszyfruję dane w taki sposób, że nie będą zdatne do użytku. Później „uprzejmie poprosi” o darowiznę, po której Twój telefon znowu odzyska pełnię sił.

Złośliwe oprogramowanie zostało zaopatrzone w dwa potężne narzędzie wymuszające pieniądze od ofiar. Po pierwsze potrafi zmieniać kod PIN urządzenia, tym samym uniemożliwiając ofiarom dostęp do swoich urządzeń. A po drugie szyfruje dane znajdujące się w pamięci masowej. To połączenie sprawia, że nasz telefon staję się bezużytecznym kawałkiem krzemu. Co więcej, to pierwsze tego typu oprogramowanie widoczne w ekosystemie Google’a.

Jak można zainfekować swoje urządzenie?

DoubleLocker rozprzestrzenia się głównie jako fałszywy Adoble Flash Player za pośrednictwem zhakowanych stron internetowych. Po uruchomieniu aplikacja zażąda dostęp do usługi zwanej „Google Play Service”. Po tej czynności wirus uzyskuje większość uprawień i używa ich do aktywowania praw administratora (roota), a następnie ustawia siebie jako domyślna aplikacja domowa, oczywiście bez zgody ani wiedzy użytkownika.

Po tej operacji nasz telefon zostaję zablokowany nowym kodem PIN, blokując dostęp do urządzenia. Nowy kod PIN jest wartością losową, która ani nie jest nigdzie wysyłana, ani przechowywana, dlatego niemożliwym jest jego odzyskanie. Po otrzymaniu okupu osoba atakująca może zdalnie zresetować kod PIN i odblokować urządzenie.

Następnym etapem działania DoubleLockera, to szyfrowanie plików z katalogu głównego pamięci masowej urządzenia. Wykorzystuję algorytm AES, dołączając rozszerzenie „.cryeye”, sprawiając, że dane są absolutnie niemożliwe do otworzenia żadnym dostępnym programem czy aplikacją. Co więcej, bez otrzymania odpowiedniego klucza szyfrującego, nie ma możliwości odzyskania danych.

 

DoubleLocker
Opłata za odblokowanie urządzenia wynosi 0,0130 BTC (około 53 dolary w chwili pisania artykułu), a komunikat wyświetlany na urządzeniu podkreśla, że należy zapłacić w ciągu 24 godzin. Jeśli jednak nie zapłacimy, to nieodwracalnie utracimy dostęp do naszych danych.
DoubleLocker
Jak pozbyć się DoubleLocker?

Wszelkim cyberzagrożeniom należy zapobiegać, a nie leczyć ich skutki, dlatego najlepszym i najprostszym rozwiązaniem jest po prostu niezezwalanie na instalację z nieznanych źródeł. DoubleLocker nie czai się a nas w sklepie Play, a w niezabezpieczonych stronach internetowych. Pobranie pliku instalacyjnego APK, jeszcze nas nie zainfekuję, dopiero jego instalacja nieźle namiesza nam w systemie.

Jednak jeśli czytacie ten wpis już po fakcie dokonanym, to jedyną opcją jest wejście w Recovery i przywrócenie urządzenie do ustawień fabrycznych. Tylko wówczas również stracimy wszystkie swoje dane, ale nasz telefon zostaje odblokowany za 0 zł.

Istnieje jeszcze jedno wyjście z całej sytuacji, ale wyłącznie dla osób posiadających zrootowanego Androida. Metoda zadziała w przypadku, kiedy urządzenie było ustawione w tryb debugowania, przed aktywacją DoubleLockera. Jeśli powyższy warunek jest spełniony, to wówczas użytkownik może połączyć urządzenie za pośrednictwem ADB (Android Debug Bridge) i usunąć plik systemowy, gdzie zwyczajowo zapisany jest PIN. Ta operacja odblokowuje ekran, dzięki czemu użytkownik ma dostęp do swojego urządzenia. Następnie będąc w trybie awaryjnym, możemy dezaktywować nadane uprawienia złośliwemu wirusowi i odinstalować go. W niektórych przypadkach koniecznie może być ponowne uruchomienie urządzenia. Jednakże ta metoda również nie przywróci nam danych. Jak wcześniej wspomniałem, nie ma samodzielnej możliwości ich odzyskania. Jedynie uiszczenie opłaty może pomóc.

Dlatego zachęcam wszystkich czytających do częstego tworzenia kopii zapasowej swoich danych. Sama czynność nic nie kosztuję i nie trwa dłużej niż 10 minut, a może zaoszczędzić nam o wiele więcej czasu i nerwów.

Źrodło: 1

 

Top