作者：360移動(dòng)安全團(tuán)隊(duì)

摘 要

手機(jī)勒索軟件是一種通過(guò)鎖住用戶移動(dòng)設(shè)備，使用戶無(wú)法正常使用設(shè)備，并以此脅迫用戶支付解鎖費(fèi)用的惡意軟件。其表現(xiàn)為手機(jī)觸摸區(qū)域不響應(yīng)觸摸事件，頻繁地強(qiáng)制置頂頁(yè)面無(wú)法切換程序和設(shè)置手機(jī)PIN碼。

手機(jī)勒索軟件的危害除了勒索用戶錢財(cái)，還會(huì)破壞用戶數(shù)據(jù)和手機(jī)系統(tǒng)。

手機(jī)勒索軟件最早從仿冒殺毒軟件發(fā)展演變而來(lái)，2014年5月Android平臺(tái)首個(gè)真正意義上的勒索樣本被發(fā)現(xiàn)。

截至2016年第一季度，勒索類惡意軟件歷史累計(jì)感染手機(jī)接近90萬(wàn)部，從新增感染手機(jī)數(shù)據(jù)看，2015年第三季度新增感染手機(jī)接近35萬(wàn)部。

截至2016年第一季度，共捕獲手機(jī)勒索類惡意樣本6萬(wàn)余個(gè)。其中國(guó)外增長(zhǎng)迅速，在2015年第三季度爆發(fā)式增長(zhǎng)，季度捕獲量接近2.5萬(wàn)個(gè)；國(guó)內(nèi)則穩(wěn)步上升。

國(guó)外最常偽裝成色情視頻、Adobe Flash Player和系統(tǒng)軟件更新；國(guó)內(nèi)則最常偽裝成神器、外掛及各種刷鉆、刷贊、刷人氣的軟件。

從手機(jī)勒索軟件的技術(shù)原理看，鎖屏主要利用構(gòu)造特殊的懸浮窗、Activity劫持、屏蔽虛擬按鍵、設(shè)置手機(jī)PIN碼和修改系統(tǒng)文件。解鎖碼生成方式主要是通過(guò)硬編碼、序列號(hào)計(jì)算、序列號(hào)對(duì)應(yīng)。解鎖方法除了直接填寫解鎖碼，還能夠通過(guò)短信、聯(lián)網(wǎng)和解鎖工具遠(yuǎn)程控制解鎖。

制作方面，主要使用合法的開(kāi)發(fā)工具AIDE，通過(guò)QQ交流群、教學(xué)資料、收徒傳授的方式進(jìn)行指導(dǎo)。

傳播方面，主要通過(guò)QQ群、受害者、貼吧、網(wǎng)盤等方式傳播。

制馬人通過(guò)解鎖費(fèi)、進(jìn)群費(fèi)、收徒費(fèi)等方式獲取非法所得，日收益在100到300元不等，整個(gè)產(chǎn)業(yè)鏈?zhǔn)找婵蛇_(dá)千萬(wàn)元。

從制馬人人群特點(diǎn)看，年齡分布呈現(xiàn)年輕化，集中在90后和00后。一方面自己制作勒索軟件；另一方面又通過(guò)收徒的方式像傳銷一樣不斷發(fā)展下線。

從被敲詐者人人群特點(diǎn)看，主要是一些經(jīng)常光顧貼吧，以及希望得到各種“利器”、“外掛”的游戲QQ群成員。

從預(yù)防的角度，可以通過(guò)軟件大小、名稱、權(quán)限等方式進(jìn)行甄別，同時(shí)需要提高個(gè)人安全意識(shí)，養(yǎng)成良好的使用手機(jī)習(xí)慣。

在清除方法上，可以通過(guò)重啟、360手機(jī)急救箱、安全模式、ADB命令、刷機(jī)等多種方案解決。

關(guān)鍵詞：手機(jī)勒索軟件、鎖屏、產(chǎn)業(yè)鏈

第一章 Android平臺(tái)勒索軟件介紹

一、勒索軟件定義

手機(jī)勒索軟件是一種通過(guò)鎖住用戶移動(dòng)設(shè)備，使用戶無(wú)法正常使用設(shè)備，并以此脅迫用戶支付解鎖費(fèi)用的惡意軟件[1]。

二、勒索軟件表現(xiàn)形式

1）主要通過(guò)將手機(jī)觸摸屏部分或虛擬按鍵的觸摸反饋設(shè)置為無(wú)效，使觸摸區(qū)域不響應(yīng)觸摸事件。

　　2）頻繁地強(qiáng)制置頂頁(yè)面，造成手機(jī)無(wú)法正常切換應(yīng)用程序。

　　3）設(shè)置手機(jī)鎖定PIN碼，無(wú)法解鎖進(jìn)入手機(jī)系統(tǒng)。

　　三、勒索軟件的危害

1）敲詐勒索用戶錢財(cái)

2）加密手機(jī)文件，破壞用戶數(shù)據(jù)

　　3）清除手機(jī)應(yīng)用，破壞手機(jī)系統(tǒng)

　　四、勒索軟件歷史演變

2013年06月Android.Fakedefender[2]，仿冒殺毒軟件恐嚇用戶手機(jī)存在惡意軟件要求付費(fèi)并且頂置付費(fèi)提示框?qū)е聼o(wú)法清除。

2014年05月Android.Koler[3]，Android平臺(tái)首個(gè)真正意義上的勒索樣本。

2014年06月Android.Simplocker[4]，首個(gè)文件加密并且利用洋蔥網(wǎng)絡(luò)的勒索樣本。

2014年06月Android.TkLocker[5]，360發(fā)現(xiàn)首個(gè)國(guó)內(nèi)惡作劇鎖屏樣本。

2014年07月Android.Cokri[6]，破壞手機(jī)通訊錄信息及來(lái)電功能的勒索樣本。

2014年09月Android.Elite[7]，清除手機(jī)數(shù)據(jù)并且群發(fā)短信的鎖屏樣本。

2015年05月Android.DevLocker[8]，360發(fā)現(xiàn)國(guó)內(nèi)出現(xiàn)首個(gè)設(shè)置PIN碼的勒索樣本。

2015年09月Android.Lockerpin[9]，國(guó)外出現(xiàn)首個(gè)設(shè)置PIN碼的勒索樣本。

第二章 Android平臺(tái)勒索軟件現(xiàn)狀

一、勒索類惡意樣本感染量

截至2016年第一季度，勒索類惡意軟件歷史累計(jì)感染手機(jī)接近90萬(wàn)部，通過(guò)對(duì)比2015到2016年季度感染變化趨勢(shì)，可以看出2015年第三季度新增感染手機(jī)接近35萬(wàn)部。

　　二、勒索類惡意樣本數(shù)量

截至2016年第一季度，共捕獲勒索類惡意樣本7.6萬(wàn)余個(gè)，通過(guò)對(duì)比2015到2016年季度變化情況，可以看出國(guó)外勒索類惡意軟件增長(zhǎng)迅速，并且在2015年第三季度爆發(fā)式增長(zhǎng)，季度捕獲量接近2.5萬(wàn)個(gè)；反觀國(guó)內(nèi)勒索類惡意軟件增長(zhǎng)趨勢(shì)，雖然沒(méi)有爆發(fā)式增長(zhǎng)，但是卻呈現(xiàn)出穩(wěn)步上升的趨勢(shì)。

　　三、常見(jiàn)偽裝對(duì)象

對(duì)比國(guó)內(nèi)外勒索類惡意軟件最常偽裝的軟件名稱可以看出，國(guó)外勒索類惡意軟件最常偽裝成色情視頻、Adobe Flash Player和系統(tǒng)軟件更新這類軟件。而國(guó)內(nèi)勒索類惡意軟件最常偽裝成神器、外掛及各種刷鉆、刷贊、刷人氣的軟件，這類軟件往往利用了人與人之間互相攀比的虛榮心和僥幸心理。

　　四、用戶損失估算

2015年全年國(guó)內(nèi)超過(guò)11.5萬(wàn)部用戶手機(jī)被感染，2016年第一季度國(guó)內(nèi)接近3萬(wàn)部用戶手機(jī)被感染。每個(gè)勒索軟件的解鎖費(fèi)用通常為20、30、50元不等，按照每位用戶向敲詐者支付30元解鎖費(fèi)用計(jì)算，2015年國(guó)內(nèi)用戶因此遭受的損失達(dá)到345萬(wàn)元，2016年第一季度國(guó)內(nèi)用戶因此遭受的損失接近90萬(wàn)。

第三章 Android平臺(tái)勒索軟件技術(shù)原理

一、鎖屏技術(shù)原理

1）利用WindowManager.LayoutParams的flags屬性

通過(guò)addView方法實(shí)現(xiàn)一個(gè)懸浮窗，設(shè)置WindowManager.LayoutParams的flags屬性，例如，“FLAG_FULLSCREEN”、“FLAG_LAYOUT_IN_SCREEN”配合“SYSTEM_ALERT_WINDOW”的權(quán)限，使這個(gè)懸浮窗全屏置頂且無(wú)法清除，造成手機(jī)屏幕鎖屏無(wú)法正常使用。

　　2）利用Activity劫持

通過(guò)TimerTask定時(shí)監(jiān)控頂層Activity，如果檢測(cè)到不是自身程序，便會(huì)重新啟動(dòng)并且設(shè)置addFlags值為“FLAG_ACTIVITY_NEW_TASK”覆蓋原來(lái)程序的Activity，從而利用Activity劫持手段，達(dá)到勒索軟件頁(yè)面置頂?shù)男Ч瑫r(shí)結(jié)束掉原來(lái)后臺(tái)進(jìn)程。目前Android5.0以上的版本已經(jīng)采取了保護(hù)機(jī)制來(lái)阻止這種攻擊方式，但是5.0以下的系統(tǒng)仍然占據(jù)絕大部分。

　　3）屏蔽虛擬按鍵

通過(guò)改寫onKeyDown方法，屏蔽返回鍵、音量鍵、菜單鍵等虛擬按鍵，造成不響應(yīng)按鍵動(dòng)作的效果，來(lái)達(dá)到鎖屏的目的。

　　4）利用設(shè)備管理器設(shè)置解鎖PIN碼

通過(guò)誘導(dǎo)用戶激活設(shè)備管理器，勒索軟件會(huì)在用戶未知情的情況下強(qiáng)制給手機(jī)設(shè)置一個(gè)解鎖PIN碼，導(dǎo)致用戶無(wú)法解鎖手機(jī)。

　　5）利用Root權(quán)限篡改系統(tǒng)文件

如果手機(jī)之前設(shè)置了解鎖PIN碼，勒索軟件通過(guò)誘導(dǎo)用戶授予Root權(quán)限，篡改/data/system/password.key文件，在用戶不知情的情況下設(shè)置新的解鎖PIN碼替換舊的解鎖PIN碼，達(dá)到鎖屏目的。

　　二、解鎖碼生成方式

1）解鎖碼硬編碼在代碼里

有些勒索軟件將解鎖碼硬編碼在代碼里，這類勒索軟件解鎖碼唯一，且沒(méi)有復(fù)雜的加密或計(jì)算邏輯，很容易找到解鎖碼，比較簡(jiǎn)單。

　　2）解鎖碼通過(guò)序列號(hào)計(jì)算

與硬編碼的方式相比，大部分勒索軟件在頁(yè)面上都顯示了序列號(hào)，它是惡意軟件作者用來(lái)標(biāo)識(shí)被鎖住的移動(dòng)設(shè)備編號(hào)。一部分勒索軟件解鎖碼是通過(guò)序列號(hào)計(jì)算得出，例如下圖中的fkey代表序列號(hào)，是一個(gè)隨機(jī)生成的數(shù)；key代表解鎖碼，解鎖碼是序列號(hào)*3-98232計(jì)算得出。這僅是一個(gè)簡(jiǎn)單的計(jì)算例子，這種方式解鎖碼隨序列號(hào)變化而變化，解鎖碼不唯一并且可以使用復(fù)雜的計(jì)算邏輯。

　　3）解鎖碼與序列號(hào)鍵值對(duì)關(guān)系

還有一部分勒索軟件，解鎖碼與序列號(hào)都是隨機(jī)生成，使用鍵值對(duì)的方式保留了序列號(hào)和解鎖碼的對(duì)應(yīng)關(guān)系。這種方式序列號(hào)與解鎖碼沒(méi)有計(jì)算關(guān)系，解鎖碼會(huì)經(jīng)過(guò)各種加密變換，通過(guò)郵件等方式回傳解鎖碼與序列號(hào)的對(duì)應(yīng)關(guān)系。

　　三、常見(jiàn)解鎖方法

1）直接輸入解鎖碼解鎖

用戶通過(guò)付給敲詐者錢來(lái)?yè)Q取設(shè)備的解鎖碼。將解鎖碼直接輸入在勒索頁(yè)面里來(lái)解鎖屏幕，這是最常見(jiàn)的勒索軟件的解鎖方式之一。

2）利用短信控制解鎖

短信控制解鎖方式，就是通過(guò)接收指定的短信號(hào)碼或短信內(nèi)容遠(yuǎn)程解鎖，這種解鎖方式會(huì)暴露敲詐者使用的手機(jī)號(hào)碼。

　　3）利用聯(lián)網(wǎng)控制解鎖

敲詐者為了隱藏自身信息，會(huì)使用如洋蔥網(wǎng)絡(luò)等匿名通信技術(shù)遠(yuǎn)程控制解鎖。這種技術(shù)最初是為了保護(hù)消息發(fā)送者和接受者的通信隱私，但是被大量的惡意軟件濫用。

　　4）利用解鎖工具解鎖

敲詐者為了方便進(jìn)行勒索，甚至制作了勒索軟件配套的解鎖控制端。

　　第四章 Android平臺(tái)勒索軟件黑色產(chǎn)業(yè)鏈

本章主要從Android平臺(tái)勒索軟件的制作、傳播、收益角度及制馬人和被敲詐的人群特點(diǎn)，重點(diǎn)揭露其在國(guó)內(nèi)的黑色產(chǎn)業(yè)鏈。

一、制作

（一）制作工具

國(guó)內(nèi)大量的鎖屏軟件都使用合法的開(kāi)發(fā)工具AIDE，AIDE是Android環(huán)境下的開(kāi)發(fā)工具，這種開(kāi)發(fā)工具不需要借助電腦，只需要在手機(jī)上操作，便可以完成Android樣本的代碼編寫、編譯、打包及簽名全套開(kāi)發(fā)流程。制馬人使用開(kāi)發(fā)工具AIDE只需要對(duì)源碼中代表QQ號(hào)碼的字符串進(jìn)行修改，便可以制作成一個(gè)新的勒索軟件。

因?yàn)檫@種工具操作簡(jiǎn)單方便，開(kāi)發(fā)門檻低，變化速度快，使得其成為制馬人開(kāi)發(fā)勒索軟件的首選。

　　（二）交流群

通過(guò)我們的調(diào)查發(fā)現(xiàn)，制馬人大多使用QQ群進(jìn)行溝通交流，在QQ群查找里輸入“Android鎖機(jī)”等關(guān)鍵字后，就能夠找到很多相關(guān)的交流群。

　　下圖是某群的群主在向群成員炫耀自己手機(jī)中保存的鎖機(jī)源碼

　　（三）教學(xué)資料

制作時(shí)不僅有文字資料可以閱讀，同時(shí)在某些群里還提供了視頻教程，可謂是“圖文并茂”

鎖機(jī)教程在線視頻

　　鎖機(jī)軟件教程

　　（四）收徒傳授

在群里，群主還會(huì)以“收徒”的方式教授其他人制作勒索軟件，在擴(kuò)大自己影響力的同時(shí)，也能夠通過(guò)這種方式獲取利益。

　　二、傳播

通過(guò)我們的調(diào)查研究，總結(jié)出了國(guó)內(nèi)勒索軟件傳播示意圖

　　制馬人通過(guò)QQ群、受害者、貼吧、網(wǎng)盤等方式，來(lái)傳播勒索軟件。

（一）QQ群

制馬人通過(guò)不斷加入各種QQ群，在群共享中上傳勒索軟件，以“外掛”、“破解”、“刷鉆”等各種名義誘騙群成員下載，以達(dá)到傳播的目的。

　　（二）借助受害者

當(dāng)有受害者中招時(shí)，制馬人會(huì)要求受害者將勒索軟件傳播到更多的QQ群中，以作為換取解鎖的條件。

　　（三）貼吧

制馬人在貼吧中以鏈接的方式傳播。

　　（四）網(wǎng)盤

制馬人將勒索軟件上傳到網(wǎng)盤中，再將網(wǎng)盤鏈接分享到各處，以達(dá)到傳播的目的。

　　三、收益

通過(guò)我們的調(diào)查研究，總結(jié)出了國(guó)內(nèi)勒索軟件產(chǎn)業(yè)鏈的資金流向示意圖

制馬人主要通過(guò)解鎖費(fèi)、進(jìn)群費(fèi)、收徒費(fèi)等方式獲取非法所得，日收益在100到300元不等。

（一）收益來(lái)源

解鎖費(fèi)

　　進(jìn)群費(fèi)

　　收徒費(fèi)

　　（二）日均收益

制馬人通過(guò)勒索軟件的日收益在100到300元不等

　　（三）產(chǎn)業(yè)鏈?zhǔn)找?

2015年全年國(guó)內(nèi)超過(guò)11.5萬(wàn)部用戶手機(jī)被感染，2016年第一季度國(guó)內(nèi)接近3萬(wàn)部用戶手機(jī)被感染。每個(gè)勒索軟件的解鎖費(fèi)用通常為20、30、50元不等，按照每個(gè)勒索軟件解鎖費(fèi)用30元計(jì)算，2015年國(guó)內(nèi)Android平臺(tái)勒索類惡意軟件產(chǎn)業(yè)鏈年收益達(dá)到345萬(wàn)元，2016年第一季度接近90萬(wàn)。國(guó)內(nèi)Android平臺(tái)勒索類惡意軟件歷史累計(jì)感染手機(jī)34萬(wàn)部，整個(gè)產(chǎn)業(yè)鏈?zhǔn)找娉^(guò)了千萬(wàn)元，這其中還不包括進(jìn)群和收徒費(fèi)用的收益。

四、制馬人人群特點(diǎn)

（一）制馬人年齡分布

從抽取的幾個(gè)傳播群中的人員信息可以看出，制馬人的年齡分布呈現(xiàn)年輕化，集中在90后和00后。

　　（二）制馬人人員架構(gòu)

絕大多數(shù)制馬人既扮演著制作者，又扮演著傳播者的角色。他們一方面自己制作勒索軟件，再以各種方式進(jìn)行傳播；另一方面又通過(guò)收徒的方式像傳銷一樣不斷發(fā)展下線，使制馬人和傳播者的人數(shù)不斷增加，勒索軟件的傳播范圍更廣。

這群人之所以肆無(wú)忌憚制作、傳播勒索軟件進(jìn)行勒索敲詐，并且大膽留下自己的QQ、微信以及支付寶賬號(hào)等個(gè)人聯(lián)系方式，主要是因?yàn)樗麄兡挲g小，法律意識(shí)淡薄，認(rèn)為涉案金額少，并沒(méi)有意識(shí)到觸犯法律。甚至以此作為賺錢手段，并作為向他人進(jìn)行炫耀的資本。

五、被敲詐人人群特點(diǎn)

通過(guò)一些被敲詐的用戶反饋，國(guó)內(nèi)敲詐勒索軟件感染目標(biāo)人群，主要是針對(duì)一些經(jīng)常光顧貼吧的人，以及希望得到各種“利器”、“外掛”的游戲QQ群成員。這類人絕大多數(shù)是90后或00后用戶，抱有不花錢使用破解軟件或外掛的僥幸心理，或者為了滿足互相攀比的虛榮心，容易被一些帶有“利器”、“神器”、“刷鉆”、“刷贊”、“外掛”等名稱的軟件吸引，從而中招。

第五章 Android平臺(tái)勒索軟件的預(yù)防

一、勒索軟件識(shí)別方法

1）軟件大小

安裝軟件時(shí)觀察軟件包的大小，這類勒索軟件都不會(huì)太大，通常不會(huì)超過(guò)1M。

2）軟件名稱

多數(shù)勒索軟件都會(huì)偽裝成神器、外掛及各種刷鉆、刷贊、刷人氣的軟件。

3）軟件權(quán)限

多數(shù)勒索軟件會(huì)申請(qǐng)“SYSTEM_ALERT_WINDOW”權(quán)限或者誘導(dǎo)激活設(shè)備管理器，需要在安裝和使用時(shí)留意。

二、提高個(gè)人安全意識(shí)

1）可信軟件源

建議用戶在選擇應(yīng)用下載途徑時(shí)，應(yīng)該盡量選擇大型可信站點(diǎn)，如360手機(jī)助手、各軟件官網(wǎng)等。

2）安裝安全軟件

建議用戶手機(jī)中安裝安全軟件，實(shí)時(shí)監(jiān)控手機(jī)安裝的軟件，如360手機(jī)衛(wèi)士。

3）數(shù)據(jù)備份

建議用戶日常定期備份手機(jī)中的重要數(shù)據(jù)，比如通訊錄、照片、視頻等，避免手機(jī)一旦中招，給用戶帶來(lái)的巨大損失。

4）拒絕誘惑

建議用戶不要心存僥幸，被那些所謂的能夠“外掛”、“刷鉆”、“破解”軟件誘惑，這類軟件絕大部分都是假的，沒(méi)有任何功能，只是為了吸引用戶中招。

5）正確的解決途徑

一旦用戶不幸中招，建議用戶不要支付給敲詐者任何費(fèi)用，避免助漲敲詐者的囂張氣焰。用戶可以向?qū)I(yè)的安全人員或者廠商尋求解決方法。

第六章 Android平臺(tái)勒索軟件清除方案

一、手機(jī)重啟

手機(jī)重啟后快速對(duì)勒索軟件進(jìn)行卸載刪除是一種簡(jiǎn)單便捷的清除方法，但這種方法取決于手機(jī)運(yùn)行環(huán)境和勒索軟件的實(shí)現(xiàn)方法，僅可以對(duì)少部分勒索軟件起作用。

二、360手機(jī)急救箱

360手機(jī)急救箱獨(dú)有三大功能：“安裝攔截”、“超強(qiáng)防護(hù)”、“搖一搖殺毒”，可以有效的查殺勒索軟件。

安裝攔截功能，可以讓勒索軟件無(wú)法進(jìn)入用戶手機(jī)；

超強(qiáng)防護(hù)功能，能夠清除勒索軟件未經(jīng)用戶允許設(shè)置的鎖屏PIN碼，還能自動(dòng)卸載木馬；

搖一搖殺毒可以在用戶中了勒索軟件，無(wú)法操作手機(jī)的情況下，直接殺掉木馬，有效保護(hù)用戶安全。

三、安全模式

安全模式也是一種有效的清除方案，不同的機(jī)型進(jìn)入安全模式的方法可能不同，建議用戶查找相應(yīng)機(jī)型進(jìn)入安全模式的具體操作方法。

我們以Nexus 5為例介紹如何進(jìn)入安全模式清除勒索軟件，供用戶參考。步驟如下：

步驟一：當(dāng)手機(jī)被鎖后長(zhǎng)按手機(jī)電源鍵強(qiáng)制關(guān)機(jī)，然后重啟手機(jī)。

步驟二：當(dāng)出現(xiàn)Google標(biāo)志時(shí)，長(zhǎng)按音量“-”鍵直至進(jìn)入安全模式。

步驟三：進(jìn)入“設(shè)置”頁(yè)面，找到并點(diǎn)擊“應(yīng)用”。

步驟四：找到對(duì)應(yīng)的惡意應(yīng)用，點(diǎn)擊卸載，重啟手機(jī)，清除成功。

　　四、ADB命令

對(duì)有一定技術(shù)基礎(chǔ)的用戶，在手機(jī)有Root權(quán)限并且已經(jīng)開(kāi)啟USB調(diào)試（設(shè)置->開(kāi)發(fā)者選項(xiàng)->USB調(diào)試）的情況下，可以將手機(jī)連接到電腦上，通過(guò)ADB命令清除勒索軟件。

針對(duì)設(shè)置PIN碼類型的勒索軟件，需要在命令行下執(zhí)行以下命令：

>adb shell

> su

> rm /data/system/password.key

針對(duì)其他類型的勒索軟件，同樣需要在命令行下執(zhí)行rm命令，刪除勒索軟件安裝的路徑。

五、刷機(jī)

如以上方法都無(wú)法解決，用戶參考手機(jī)廠商的刷機(jī)指導(dǎo)或者到手機(jī)售后服務(wù)，在專業(yè)指導(dǎo)下進(jìn)行刷機(jī)操作。

附錄一：參考資料

[1] Mobile security:https://en.wikipedia.org/wiki/Mobile_security#Ransomware

[2] FakeAV holds Android Phones for Ransom: http://www.symantec.com/connect/blogs/fakeav-holds-android-phones-ransom

[3] Police Locker land on Android Devices: http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.html

[4] ESET Analyzes Simplocker – First Android File-Encrypting, TOR-enabled Ransomware: http://www.welivesecurity.com/2014/06/04/simplocker/

[5] TkLocker分析報(bào)告: http://blogs.360.cn/360mobile/2014/06/18/analysis_of_tklocker/

[6] 病毒播報(bào)之流氓勒索: http://blog.avlyun.com/2014/07/1295/%E7%97%85%E6%AF%92%E6%92%AD%E6%8A%A5%E4%B9%8B%E6%B5%81%E6%B0%93%E5%8B%92%E7%B4%A2/

[7] Vandal Trojan for Android wipes memory cards and blocks communication: http://news.drweb.com/show/?i=5978&c=9&lng=en&p=0

[8] 手機(jī)鎖屏勒索國(guó)內(nèi)首現(xiàn)身: http://blogs.360.cn/360mobile/2015/05/19/analysis_of_ransomware/

[9] Aggressive Android ransomware spreading in the USA: http://www.welivesecurity.com/2015/09/10/aggressive-android-ransomware-spreading-in-the-usa/