“农药”党小心了！手机勒索病毒冒充热门手游《王者荣耀》辅助工具

　　勒索病毒运行后首先会生成[10000000,19999999]区间内的一个8位随机数

　　1、加密入口

　　首次进入软件时启动加密线程，否则主页替换为勒索页面

　　2、文件遍历

　　遍历根目录/storage/emulated/0/下所有文件，过滤路径中包含android、com.、miad的目录;如果路径中包含download(系统下载)、dcim(相机照片)、baidunetdisk(百度云盘)，则对该目录下的所有文件进行加密处理。病毒只加密10kb到50mb之间、文件名中包含“.”的文件。

　　3、加密逻辑

　　调用getsss()生成AES加密/解密密钥。

　　调用AES算法加密文件。

　　加密成功之后，对文件进行更名，更名为:原始文件名+.勿卸载软件解密加QQ3135078046bahk+随机数。

　　4、文件删除操作

　　指定时间内未交赎金后，勒索病毒将会对加密的文件进行删除操作。

　　变种特征

　　变种1： 替换密钥附加值

　　类似变种还有随机数+666、随机数+520、随机数+1122330等几个版本。

　　变种2： 增强加密密钥生成算法

　　随机生成字母+数字混合的10位字符串。

　　变种3： 异或加密算法

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!