深度|勒索黑产业研究：造马者、传播者、受害者，环环相扣，每年锁定数百万终端

深度|勒索黑产业研究：造马者、传播者、受害者，环环相扣，每年锁定数百万终端

普通锁接口

安卓锁壳

2017年勒索软件腾讯调查报告：

勒索软件腾讯部调查报告

2.QQ群是主要的交流来源

（一）QQ与QQ群的关系

通过对勒索软件预留的QQ号和QQ群的分析，我们发现大多数勒索信息中同时出现了QQ号和QQ群号。 在类似页面布局的勒索页面中，仅改变了QQ号，QQ群号基本保持不变。

储物柜舰队和骑士关系

例如qq钓鱼程序生成器，在30****23这个QQ群号中，有325个不同的QQ号与这个号同时出现，包含这些QQ号的勒索软件就有6000多个。

附：QQ群传播勒索病毒感染区调查报告

图 7

(2)QQ群共享资源

进入一些储物柜QQ群后，我们发现群里有人上传了一些储物柜源码、测试视频、视频教程、软件源码和制作工具等到群文件，分享给群里的其他人，甚至制作了木马一键生成器。

这种一键式生成器操作简单，无需编程知识，能够自定义生成多种类型的移动恶意软件。 由于使用门槛低，勒索软件的数量和类型不断增长和变化。

附：锁群中的锁软件源码

上图是某锁QQ群的锁教程

三、传播影响及范围

通过QQ群查询关键字“”，发现关键字“”的QQ群有200多个，可见QQ群是勒索病毒传播的主要来源。

QQ群搜索：锁定手机后获取大量相关QQ群

百度搜索：安卓锁软件生成器 轻松获取锁软件生成器及源码

第 3 章勒索软件定制和工厂化

1.大部分一键生成器都是用简单的工具制作的

勒索病毒一键生成器不仅可以定制手机恶意软件，尤其是勒索病毒，还可以量产成工厂模式。 这款一键生成器和大多数国产勒索软件一样，也是使用AIDE开发工具开发的。

AIDE 是一个集成开发环境 (IDE)，用于直接在设备上开发应用程序。 支持编写-编译-调试全循环。 开发者可以在手机或平板电脑上创建新项目，并使用功能丰富的编辑器编写代码。 支持实时错误检查、代码重构、代码智能导航、APK生成。 直接安装测试。 使用AIDE可以降低软件作者的学习成本和开发门槛，同时拥有更大的灵活性和快速修改代码的能力。

创建APP项目

APP编译签名

图 11

2、一键生成器介绍

我们从一个安卓锁源码的QQ群里下载了一个名为“APP梦工厂”的一键生成器。

梦工厂软件界面

经过分析，一键生成器的包结构主要由两部分组成，一个是自定义模板，一个是签名工具，两者都存放在APK包的资源文件夹中。

生成的模板中有22种不同类型的软件，其中勒索软件12种、钓鱼软件6种、套路软件2种、拦马软件1种、供词软件1种。

3、发电机生产工艺

(1)选择生成软件类型

选择花式锁屏，种类有固定密码生成、序列号生成、网页生成、电话生成、隐藏输入框生成、声控生成、魔粒版远程修改密码生成、时钟生成、可变序列号生成、摇一摇生成，序列号图案生成，远程修改密码生成。

锁定软件界面

选择消息转发，包括消息转发（手机号版）和消息转发（邮箱版）

选择留言反馈，类型包括留言反馈1（手机号版）、留言反馈1（邮箱版）、留言反馈2（手机号版）、留言反馈2（邮箱版）

选择告白软件，只有一种无声告白

选择套路软件，包括金点移动服务和王者荣耀礼包

(2)填写生成软件的配置信息

需要选择图标，软件背景图片的文件路径，填写软件名称，PIN码，解锁密码和页面显示的文字。

这些定制的勒索软件配置信息被插入到生成器的模板文件中，重新签名后在SD卡目录下生成一个定制的APK文件。

（3）添加生成软件ROOT锁

这里加ROOT壳并不代表APK的加固和脱壳。 是指将之前一键生成的勒索病毒以分包的形式隐藏在另一个软件中。 后者作为普通软件安装运行后，会通过一些文字提示诱导用户授予ROOT权限，同时将前者安装到手机系统中。 在软件目录中，这种子包组合的锁定方式被造马者称为“ROOT shell”。

一般变相的正常软件都跟ROOT、清理加速、文件管理有关。 主要原因是人们更容易在这些软件的功能上授予ROOT权限，从而更顺利地隐藏在系统目录中。

4、深挖造马商、运营商信息

通过格雷大哥的深入调查，发现了一个社交软件群在卖锁程序。 只要您支付费用，卖家就会根据您的要求生成“锁机生成器”。 这个行业进入成本极低！

附：我与相关从业者的对话

手机恶意程序形成了制作、传播、勒索、洗钱、教学等黑色产业链。

在这个行业里，好人坏人鱼龙混杂。 由于技术门槛要求低，很多初高中生也加入其中。 “

“黑客”KK还告诉灰色产业团队，以前一个锁病毒可以卖到200元，现在学生开学后可以花几十元到十几元买一个病毒。

这让会禅弟兄不寒而栗。 虽然这种东西对我来说是小儿科，但是如果是小白的把戏qq钓鱼程序生成器，还是会很头疼的。

甚至有人制作了二维码支付锁软件。 用户感染锁病毒后，用户扫描二维码，支付一定金额，即可自动解锁。 这真的很简单，即使不懂代码，也可以使用E4A、AIDE等软件轻松制作锁具软件。

五、结束

社交网络的飞速发展，使得人们之间的交流更加方便。 由于社交网络平台的灵活性，一些人更容易获取和传播恶意软件，平台的监管也带来了更大的困难。

造马者肆无忌惮地制作和传播勒索软件进行勒索，并大胆留下QQ、微信、支付宝账号等个人联系方式，主要是因为他们年轻，法律意识薄弱。 他们认为涉案金额不大，并没有意识到违法。 甚至将其作为赚钱的手段，作为向他人炫耀的资本，也加速了手机勒索病毒的进化。

恶意软件一键生成器替代了人工繁琐的代码编写和编译过程，进一步降低了生产门槛。 不仅生成速度更快，还可以根据需要进行定制。

自勒索病毒全球爆发以来，国内仿制的勒索病毒层出不穷。 利用加密文件进行勒索的手机勒索恶意软件逐渐出现，改变了以往手机锁屏勒索的方式。 手机勒索病毒在技术上更加复杂，给用户带来更严重的额外损失，也给安全厂商带来了更大的挑战。