移动互联网勒索主要是通过一下几个方面来实现：

　　通过购买大量的被黑客泄露的用户各种账号信息，然后使用“撞库”的 *** 筛选有效的账户信息，最后修改用户账户密码的信息来锁定用户设备（只要是针对苹果用户），使用户无法正常使用手机，然后进行勒索；

　　通过诱导欺骗用户在手机设备安装手机恶意软件来锁定用户手设备，使用户无法正常使用手机，然后进行勒索。

　　

　　图2-1 “呼死你”软件整体工作流程

　　

　　图2-2 调用手机拨号界面

　　

　　图2-3 根据设置条件骚扰指定号码

　　通过分析相关“呼死你”软件发现，目前“呼死你”软件主要是作者通过向购买者收取一定的注册码费用来获取利益，购买者主要是通过向骚扰对象索取停止骚扰费用来获取一定利益，具体流程如图2-4所示。

　　

　　图 2-4 “呼死你”软件获利流程

　　2.4.1　贩卖获利

　　“呼死你”软件开发者会通过售卖软件的方式来获取利益，如图2-5所示。

　　

　　图2-5 购买注册码

　　2.4.2　勒索获利

　　“呼死你”软件开发者或者购买者直接对目标用户进行长时间的骚扰性呼叫，导致用户不能正常使用手机，之后对目标用户进行勒索来获利。

　　IOS勒索主要是由于黑客通过更改用户账号密码等信息，锁定目标用户设备，导致用户无法正常使用设备，从而实现勒索用户的目的。

　　IOS勒索主要是一些组织通过一些渠道低价购买有价值的个人用户信息，然后通过“撞库”的方式清洗出有效的账号信息，之后通过修改Apple ID的密码来锁定用户手机进行勒索。具体流程图如图3-1所示。

　　

　　图3-1 IOS勒索流程

　　基于IOS勒索的产业链主要是黑产组织从第三方Apple市场或者黑客手中低价购买用户Apple ID账号和密码等信息，之后通过“撞库”方式，遍历所有的账户，获取有效的账号和密码，之后通过修改Apple ID的来锁定用户手机进行勒索，具体流程如图3-2所示。

　　

　　图3-2 IOS勒索获利流程

　　Android锁屏勒索软件是一种通过各种 *** 锁定用户手机，使用户无法正常使用手机并以此胁迫用户通过微信红包等方式支付解锁费用的程序。其实现方式主要是通过设置PIN码、顶层窗口等方式来锁定用户手机，使用户无法正常使用手机。

　　Android锁屏勒索软件通常会伪装称“ *** 刷钻”、“集赞”等软件，诱导用户安装运行，从而导致用户手机被锁定，并且这类恶意软件由于开发技术难度低， *** 容易，导致该类软件更新速度快，同时会诱骗具有好奇心的开发者加入到 *** 勒索软件的队伍中，导致该软件的黑色产业持续扩大，影响更多的用户。

　　目前大多数勒索软件都是使用顶层窗口、设置PIN码来锁定用户手机，同时屏蔽虚拟按键防止用户退出，有的软件甚至通过将子包释放到系统目录的方式防止卸载，最后预留微信、 *** 等信息，胁迫受害者支付解锁费用，或者推广该类病毒的开发技术等。流程图如图4-1所示：

　　

　　图4-1 锁屏勒索软件整体工作流程

　　4.2.1　伪装技术

　　病毒作者利用大多数抱有不花钱使用破解软件或外挂的人员，希望得到各种 “神器”、“外挂”的游戏人员或者 *** 群成员，通过将软件名称定义为“神器”、“刷钻”、“刷赞”，诱骗该类用户安装运行。如图4-2所示。

　　

　　图4-2 伪装图标示例

　　经过统计分析，其中“红包”类安装名称占比24%，“刷赞”、“刷金币”类按住名占比23%，具体占比情况如图4-3所示。

　　

　　图4-3 安装名称统计

　　4.2.2　锁屏技术

　　4.2.2.1　Activity劫持

　　通过设置定时器监测顶层窗口，如果不是自身程序，则会重新启动并且设置addFlags值为“FLAG_ACTIVITY_NEW_TASK”覆盖原来程序的Activity，并且kill掉之前的顶层窗口进程。如图4-4、图4-5所示。

　　

　　图4-4 置顶窗口示例

　　

　　图4-5 置顶窗口和kill进程代码

　　4.2.2.2　顶层浮窗

　　顶层浮窗是利用WindowManager.LayoutParams通过控制flags属性 *** 一个特殊的全屏View并置顶。

　　该 *** 首先需要在android配置文件中添加SYSTEM_ALERT_WINDOW权限，之后通过addView *** 设置全屏置顶悬浮窗，具体设置如下：

　　主要通过对窗口的flag进行设置。设置窗口的flag,可以直接通过窗口的getAttributes()得到其 WindowManager.LayoutParams对象,然后直接对它flag变量操作。也可以通过窗口的addFlags(int flags) *** ，setFlags(int flags, int mask) *** 进行设置。如图4-6、图4-7所示。

　　

　　图4-6 全屏顶层浮窗示例

　　

　　图4-7 设置顶层浮窗代码

　　4.2.2.3　屏蔽虚拟按键

　　病毒通过重写onKeyDown *** ，屏蔽返回键、音量键、菜单键等虚拟按键，导致用户手机不响应按键动作的效果，使用户不能退出顶层窗口，以达到锁定手机目的。如图4-8所示。

　　

　　图4-8 屏蔽手机虚拟按键

　　4.2.2.4　设置PIN码

　　病毒通过诱导用户激活设备管理器，之后病毒会强制给手机设置一个解锁PIN码，导致用户无法正常进入手机系统。

　　诱导用户激活设管理器权限，如图4-9、图4-10所示。

　　

　　图4-9 诱导用户激活设备管理器

　　

　　图4-10 诱导用户激活设备管理器代码

　　获取设备管理器之后，私自设置解锁PIN码，如图4-11所示。

　　

　　图4-11 设置锁屏密码代码

　　4.2.2.5　自动启动

　　该类软件通常会监听手机开机广播，实现开机自动启动锁机程序，锁定用户手机，因此用户解锁之后，如果没有及时卸载，会导致手机再次锁定。如图4-12、图4-13所示。

　　

　　图4-12 注册开机自启动广播

　　

　　图4-13 开机自启动锁屏服务

　　4.2.3　加密技术

　　4.2.3.1　DES加密结合自定义加密

　　序列号是以加密的方式嵌入到代码中，增加破解的难度，如图4-14所示。

　　

　　图4-14 密码以加密字符串存储

　　自定义对加密序列号间隔256字节添加字符串“0”之后转换成16进制字符串，如图4-15所示。

　　

　　图4-15 自定义解密代码

　　解锁码使用高级加密算法DES算法对上面的字符串进行解密，从而获取解锁序列号,如图4-16、图4-17所示。

　　

　　图4-16 DES解密代码

　　

　　图4-17 DES解密代码

　　4.2.3.2　MD5加密结合自定义加密

　　通过对指定内容进行MD5加密，之后从该MD5字符串就行截取正确的序列号：

　　MD5加密指定字符串，如图4-18所示。

　　

　　图4-18 MD5加密代码

　　通过截取MD5字符串获取序列号，如图4-19所示。

　　

　　图4-19 截取MD5加密字符串

　　该类勒索软件中，通过自定义以及AES算法解密复杂的1进制字符串获取序列号，如图4-20、图4-21所示。

　　

　　图4-20 密码以加密字符串存储

　　对复杂字符串进行截取，如图4-21所示。

　　

　　图4-21 自定义解密代码

　　对截取后的字符串进行AES解密，从而获取序列号，如图4-22所示。

　　

　　图4-22 AES解密代码

　　4.2.4　防卸载技术

　　病毒会通过诱导用户获取ROOT权限，之后会释放内嵌的锁屏子包到系统目录，并重启手机以自动启动恶意子包，该 *** 会导致用户无法卸载锁屏软件，甚至双清手机也无法卸载如图4-23、图4-24所示。

　　

　　图4-23 诱导用户获取ROOT权限

　　

　　图4-24 释放恶意子包到系统目录

　　4.2.5　解锁方式

　　4.2.5.1　序列号解锁

　　勒索软件绝大部分都是通过输入序列号进行解锁，如图4-25所示。

　　

　　图4-25 序列号解锁

　　4.2.5.2　来电解锁

　　通过来电控制解锁，监听用户手机来电，通过对比来电号码进行解锁，如图4-26所示。

　　

　　图4-26 来电解锁

　　4.2.5.3　 *** 解锁

　　通过 *** 从远程地址获取序列号解锁，后台如胶囊日记等 *** 获取序列号，有效的隐匿病毒作者信息，如图4-27所示。

　　

　　图4-27 *** 解锁

　　4.3.1　整体黑色产业链分析

　　通过分析发现，目前Android勒索软件主要是病毒作者利用大多数抱有不花钱使用破解软件或外挂的人员、以及希望得到各种“神器”、“外挂”的游戏或者 *** 群成员的攀比心理，开发 *** 以“神器”、“刷钻”、“刷赞”伪装的锁机软件，并通过游戏论坛、 *** 以及 *** 群诱导该类人群使用，从而收取解锁费用获利；或者是利用该类软件实现方式简单，代码易实现，通过 *** 群宣传教学，通过教学的方式收取费用，具体如图4-28所示。

　　

　　图4-28 Android锁屏勒索软件获利流程

　　4.3.2　勒索软件演变历史

　　2014年2月发现之一款带有恶搞性质的锁机软件之后，由于该病毒的代码简单已开发，后续演变成通过多种方式锁机，并通过该 *** 勒索用户，目前已出现多种方式锁机以及防止用户卸载技术，具体演变历史以及相关病毒如图4-29、表4-1所示。

　　

　　图4-29 演变历史

　　

　　表4-1 病毒信息

　　4.3.3　诱骗手法

　　病毒作者利用大多数抱有不花钱使用破解软件或外挂的人员，希望得到各种 “神器”、“外挂”的游戏人员或者 *** 群成员，通过将软件名称定义为“神器”、“刷钻”、“刷赞”，诱骗该类用户安装运行，如图4-30所示。

　　

　　图4-30 伪装诱骗

　　4.4.1　解锁收费

　　勒索软件会通过窗口置顶、设置PIN码等方式锁定用户手机，使用户无法正常使用手机，普通用户迫于无奈的情况下，会向病毒作者支付一定的解锁费用解锁手机，但是解锁之后，如果用户没有及时卸载软件，在用户开机时启，再次自动锁定用户手机，从而达到二次勒索，如图4-31所示。

　　

　　图4-31 解锁收费

　　4.4.2　付费群收费

　　通过创建付费群，诱导想了或者购买解锁屏软件的人员进群支付群主费用进群，如图4-32所示。

　　

　　图4-32 收费群收费

　　4.4.3　收徒收费

　　病毒作者利用该类软件实现方式简单，代码易实现，以及该类病毒基本是通过AIDE（在Android手机或者平板机上进行Android软件）开发的特点，诱导好奇心的新人学习开发，收取一定费用，如图4-33所示。

　　

　　图4-33 收徒收费

　　4.5.1　溯源流程

　　黑客溯源主要是通过提取勒索软件中相关联的信息，包括 *** 号码、下载域名以及手机号码等信息，通过对以上信息进行数据过滤和筛选，之后对筛选的数据进行 *** 追踪，已达到定位具体黑客，从源头打击的目的。

　　具体溯源流程如图4-34所示。

　　

　　图4-34 溯源流程

　　4.5.2　电子情报数据定性

　　4.5.2.1　域名情报数据分析

　　通过对勒索软件的域名进行分析和筛选，发现所有的勒索软件均是通过IP、网盘等方式进行传播，没有有效的基础溯源数据，对勒索软件传播域名及IP统计如图4-35所示：

　　

　　图4-35 勒索软件域名统计

　　4.5.2.2　 *** 号情报数据分析

　　 *** 溯源主要是通过 *** 检索 *** 相关信息，以及管理包含该 *** 样本，获取其他信息，例如手机号码之后，管理结合支付宝等信息，最终获取黑客的详细信息，具体溯源流程如图4-36所示。

　　

　　图4-36 *** 号码溯源流程

　　通过筛选勒索软件预留 *** 号码通过互联网溯源查看是否有有效的情报信息，当前对某个 *** 追溯如下：

　　当前筛选出一个 *** 号：12****740，通过 *** 查找功能查看 *** 是否有可利用的信息，如图4-37所示。

　　

　　图4-37 *** 号码信息

　　发现该 *** 号中没有提供可利用的有效电子情报数据，然后进一步通过互联网进行溯源。

　　通过 *** 检索该 *** 号码，发现一个与其 *** 号一样的网盘地址12*****40.cccpan.com，并且发现该网盘在网上留有登录密码，如图4-38、图4-39所示。

　　

　　图4-38 *** 号码信息

　　

　　图4-39 网盘登录

　　通过密码进入网盘之后，查看网盘提供的内容，发现网盘上存在锁屏勒索软件以及其他恶意软件，因此可以确认此人既是开发者又是传播者，如图4-40所示、图4-41所示。

　　

　　图4-40 网盘内容

　　

　　图4-41 网盘应用下载记录

　　另外在网盘中发现了预留了收徒群号22**79，其中站长（群主） *** 为12**40，通过查看群信息以及群文件，发现该群主要用于开发锁屏勒索软件收费教学以及传播，因此可以确定此人在使用和传播该锁屏勒索软件的同时，也时锁屏勒索软件的开发者， *** 群信息如图4-42、图4-43所示。

　　

　　图 4-42 *** 群信息

　　

　　图4-43 *** 群聊天界面

　　查看群文件，可以发现多款锁屏款勒索软件，并且下载次数已经上百次，如图4-44所示。

　　

　　图4-44 *** 群文件下载记录

　　通过12***40的 *** 邮箱查询支付宝，同时通过该 *** 号码的勒索软件中内嵌的手机号码183******47在支付宝中转账提示发现，该手机号码和预留的 *** 号码绑定，如图4-45、4-46所示。

　　

　　图4-45 *** 及手机号码关联的微信账号

　　

　　图4-46 其他 *** 记录

　　最终 *** 追踪信息：

　　 *** 名字：朵*

　　真实姓名:林**

　　手机号：183****47

　　支付宝账户: 12*****

　　出生时间：199*.08.05

　　家庭住址：广东省 揭阳市 惠来县 华湖* *镇 **后面

　　4.5.3　黑客地区分布

　　对Android勒索软件的传播地址进行分析，发现主要集中在上海、广东、北京以及四川，各地区下载地址占比分别是：上海占比26%、广东（含广州、深圳）占比21%、北京和四川占比均为17%，具体如图4-47所示。

　　

　　图4-47 其他 *** 记录

　　通过对黑客的溯源追踪，可以有效的定位到传播源，从而可以从源头对该类软件进行有效的封堵以及打击。通过对黑客传播地址归属地的统计，可以很明显的观察到传播高发地，可以针对这些地域进行重点关注。

　　5.1.1　苹果手机处置措施

　　打开“设置”“勿扰模式”选择“手动启动”选择“所有联系人”关闭“重复来电”，并设置静音模式为“始终”。

　　5.1.2　其他手机处置措置

　　IOS勒索主要原因在于用户没有保管好自己Apple ID，导致账号密码泄露，因此保护自己的账号安全才是首选。

　　登录苹果官方网站，进行我的Apple ID， 选择“管理您的Apple ID”；

　　选择“密码和账号安全”，在“两步验证”下面点击“开始设置”，根据提示操作；

　　选择开始设置”两部验证“，输入手机号获取验证码，确认自己的恢复密钥即可启动两步验证功能。

　　 对于已经感染锁屏勒索软件的用户，可以重启手机进入安全模式，在设置->应用里面找到相应的APK，进行卸载。重启手机按音量“-”键，进入安全模式后在手机左下角会有“安全模式”四个字，进入安全模式卸载勒索软件。

　　安全从自身做起，建议用户在下载软件时，到针对的应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害；

　　安全需要做到防患于未然，可以使用恒安嘉新公司的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测；

　　对于收费转账的 *** 号码或者微信号码进行追踪治理，从收益环节阻断该类软件对用户侵害；

　　用户发现感染手机勒索软件之后，可以向“12321 *** 不良与垃圾信息举报受理中心”或“中国反 *** 病毒联盟”进行举报，使这类勒索软件能够之一时间被查杀和拦截。

　　黑客大部分是2113徒弟的

　　人5261也是自己摸索过来。现在积4102累了一些教程。

　　如果需要去1653我百度的个人资料里面找把。

　　本人也是差不多储筏臂禾赚鼓辫态播卡从高中开始学，从菜鸟起步到现在也有五年多了。学黑的路上我最最最

　　讨厌的就是

　　我明明是需要很多教程来指导我，但是很多论坛，很多人。你要他们的教程必须的是VIP

　　或者是要多少多少钱。好多时候放弃学黑。因此我感同身受，很多刚入门的朋友我都会尽

　　我自己的微薄之力帮助他们。

　　这个东西都是自学的，只要 *** 知识有那么多，能精通，肯定自己也可以成为一个那个的！别人叫你的话多费劲啊，里面东西很多哦，就是你佼钱说不定也没有人教你呢！

　　你说人家自私？那你知不知道吃饭是要钱的？

　　自私？你知不知道收个徒弟要多少心血？

　　我没听说过黑客在网上收徒弟~~

　　收钱的，有能耐的相信不多~

　　如果你想学的话可以找我...不过事先声明...非法的事不要干...我的徒弟没有一个是骇客......只是普通的黑客

　　我传教是不收任何费用...我的钱多的花不出去...