محققان امنیتی TrendMicro اعلام کرده اند اخیرا مشاهده شده Android file-encrypting ransomware Slocker با استفاده از یک رابط شبیه به  بدافزار WannaCry  ماه گذشته به سیستم های اندروید سراسر جهان ضربه زده است.  Slocker یکی از اولین خانواده ی بدافزارهای اندروید برای رمزگذاری فایل ها روی دستگاههای به خطر افتاده که مدتی قبلا  موفقیت کوتاه داشته است . مسئول آن به عنوان مظنون پنج روز بعد از ردیابی اولیه دستگیر شد. 

این بدافزار در ابتدا تعداد کمی از کابران رااز طریق کانال های انتقال محدود ( فروم هایی مثل گروههای QQ و سیستم های Bulletin Board) آلوده کرد، اما در پی تلاش برای انتشار موفقیت آمیز WannaCry است. Trend Micro  مینویسد نمونه ی اوریجینال ransomware که اوایل این ماه پیدا شد  King of Glory Auxiliary  نامیده شده و قرار بود به عنوان ابزار تقلب برای بازی  King of Glory باشد. پس از نصب ransomware ظاهری شبیه به WannaCray داشت.

برای تطمیع کابران به نصب آن،   SLocker ransomware به شکل ویدئو پلیر و سایر انواع برنامه ها مخفی میشود. بعد از اینکه اپلیکیشن برای اولین بار اجرا شد، آیکون و نام آن همراه با والپیپر دستگاه آلوده تغییر میکند. همچنین این بدافزار چک میکند که آیا قبلا اجرا شده و اگر اجرا نشده باشد یک عدد رندوم تولید میکند و آن را در  SharedPreferences  ذخیره میکند. در مرحله ی بعد threat دایرکتوری حافظه ی خارجی دستگاه را تعیین موقعیت میکند و  thread جدید را شروع میکند که ابتدا از طریق دایرکتوری میرود تا به فایل هایی که نیازهای خاص را برآورده میکند را پیدا کند.

 محققان امنیتی میگویند "ما میبینیم که   ransomware از رمزگذاری فایل های سیستمی اجتناب میکند، روی فایل های دانلود شده و عکس ها تمرکز میکند و تنها فایل هایی را که پسوند دارند ( فایل های متنی، تصاویر، ویدئو ها) را رمز گذاری میکند. وقتی که یک فایل که نیازهای خاص را برآورده میکند پیدا شد thread از  ExecutorServiceبرای اجرای تسک جدید استفاده خواهد کرد".

بدافزار یک رمز براساس عدد رندومی که قبلا تولید کرده بود تولید میکند و رشته را برای ایجاد کلید نهایی برای AES قبل از استفاده از AES برای رمزگذاری فایل ها، تامین میکند. قربانیان Slocker  سه آپشن برای پرداخت جبران خسارت دارند، اما هرسه به یک کد QR یکسان ختم میشود که از قربانیان میخواهد با سرویس پرداخت موبایل چینی محبوب QQ پرداخت کنند. بدافزار  همچنین قربانیان را تهدید میکند که مقدار ransom بعد از سه روز افزایش خواهد یافت و فایل ها بعد از یک هفته پاک خواهند شد. آنالیز malware نشان داده که کلید رمزگشایی با   valueدر  MainActivity.m مقایسه میشود که عدد تصادفی از قبل تولید شده به علاوه ی 520 است.  TrendMicro مینویسد کاربران اگر بتوانند روشی برای تولید کلید رمزگذاری پیدا کنند میتوانند فایل هایشان را به صورت رایگان رمزگشایی کنند .

TrendMicro مینویسد "در مقایسه با ransomware که قبلا دیده ایم این ransomware نسبتا ساده است. برای یک مهندس امنیت معکوس سازی ransomware و پیدا کردن روشی برای رمزگشایی فایل ها کار خیلی ساده ای است. با این حال تکثیر گونه های جدید به صورت خیلی سریع بعد از اولین آنها نشان میدهد این بازیگران مخرب تضعیف نمیشوند. است . برای در امنیت و محافظت ماندن، کاربران باید تنها اپلیکیشن ها را از app store های قانونی و معتبر دانلود کنند و مجوزهایی را که توسط هر اپلیکیشن درخواست میشود چک کنند خصوصا وقتی که به نرم افزار اجازه ی خواندن/نوشتن روی حافظه ی خارجی را میدهد. کاربران باید از دیتاهای خود به صورت منظم بک آپ بگیرند و یک آنتی ویروس جامع و کامل را به عنوان یک راه حل، نصب و نگهداری کنند.