Ransomware szyfrujący pliki atakuje system Android

Przeczytaj także: Ransomware: nowy Simplocker atakuje system Android

Android/Simplocker przedostaje się na urządzenie z Androidem w zainfekowanej aplikacji. Poprzez pobranie i uruchomienie złośliwego pliku użytkownik instaluje Simplockera na swoim smartfonie czy tablecie. Program rozpoczyna skanowanie zainstalowanej w urządzeniu karty SD w poszukiwaniu plików o rozszerzeniach: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4. Następnie zaszyfrowuje je algorytmem AES i zaczyna wyświetlać na ekranie komunikat o braku dostępu do plików.

W celu odszyfrowania plików, złośliwe oprogramowanie żąda wpłaty w wysokości 260 ukraińskich Hrywien. Język komunikatu i waluta wskazują, że Android/Simplocker powstał w celu atakowania mieszkańców Ukrainy.

Treść wiadomości wyświetlanej przez Android/Simplocker:

Uwaga twój telefon został zablokowany!

Urządzenie zostało zablokowane z powodu przeglądania i rozsyłania dziecięcej pornografii, zoofilii i innych perwersyjnych materiałów.
Aby odblokować urządzenie wpłać 260 UAH

1. Zlokalizuj najbliższy punkt płatności
2. Wybierz MoneXy
3. Wpisz (tu wpisany jest kod)
4. Wpłać 260 Hrywien
5. Nie zapomnij pobrać paragonu!

Po wpłacie urządzenie zostanie odblokowane w ciągu 24 godzin.
Jeśli nie wpłacisz wspomnianej kwoty stracisz wszystkie dane na twoim urządzeniu!

Po zainfekowaniu urządzenia, program błyskawicznie nawiązuje połączenie z serwerem należącym do cyberprzestępcy – przesyła numer IMEI, nazwę producenta, model urządzenia i wersję systemu operacyjnego zainfekowanego smartfona lub tabletu. Połączenie z serwerem nawiązywane jest za pośrednictwem sieci TOR.

Przed infekcją użytkownika chroni aplikacja zabezpieczająca dla smartfonów i tabletów z Androidem ESET Mobile Security – dla osób, które nie korzystały z zabezpieczeń, jedyną szansą na odzyskanie dostępu do danych może być tzw. backup, czyli zapasowa kopia utraconych danych.