Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Android.Locker.8634
Добавлен в вирусную базу Dr.Web:
2021-06-02
Описание добавлено:
2021-06-02
Technical information
Malicious functions:
Threat detection based on machine learning.
Contains typical locker code.
Network activity:
Connects to:
UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) a####.a####.com:80
TCP(HTTP/1.1) y####.pet:80
TCP(HTTP/1.1) sdk.51.la.####.com:80
TCP(HTTP/1.1) h####.top:80
TCP(TLS/1.0) h####.b####.com.####.com:443
TCP(TLS/1.0) z.c####.com:443
TCP(TLS/1.0) hm.b####.com:443
TCP(TLS/1.0) and####.google####.com:443
TCP(TLS/1.0) p####.google####.com:443
TCP(TLS/1.0) gm.mm####.com:443
TCP(TLS/1.0) 1####.217.19.202:443
TCP(TLS/1.0) c.c####.com:443
TCP(TLS/1.0) safebro####.google####.com:443
TCP(TLS/1.0) md####.google####.com:443
TCP(TLS/1.2) 1####.250.179.163:443
TCP(TLS/1.2) 1####.217.19.202:443
TCP(TLS/1.2) 1####.217.17.142:443
DNS requests:
a####.a####.com
and####.google####.com
c####.mm####.com
c.c####.com
collec####.51.la
h####.b####.com
h####.top
hm.b####.com
i####.c####.com
instant####.google####.com
md####.google####.com
p####.google####.com
s####.51.la
s4.c####.com
safebro####.google####.com
y####.pet
z3.c####.com
HTTP GET requests:
h####.top/
h####.top/?__CBK=####
h####.top/css/app.css
h####.top/favicon.ico
h####.top/img/1.jpg
h####.top/img/2.jpg
h####.top/img/3.jpg
h####.top/img/4.jpg
h####.top/img/5.jpg
h####.top/img/favicon.ico
h####.top/img/icon.png
sdk.51.la.####.com/js-sdk-pro.min.js
y####.pet/houtai/houtai.txt
HTTP POST requests:
a####.a####.com/api.php?act=####&app=####
File system changes:
Creates the following files:
/data/data/####/08425f25b4fb78f0_0
/data/data/####/1ad4784497b2a194_0
/data/data/####/1ad4784497b2a194_1
/data/data/####/1f0a705b61878261_0
/data/data/####/27b650c4bf4b3dc8_0
/data/data/####/2dd2d0f1ea5e8742_0
/data/data/####/307945853f912b79_0
/data/data/####/37609e7ea58fec37_0
/data/data/####/3ae5550a1ba84159_0
/data/data/####/3ae5550a1ba84159_1
/data/data/####/429a0b30ed726f09_0
/data/data/####/62d11a47114e1dc6_0
/data/data/####/67cc820f934daab2_0
/data/data/####/67cc820f934daab2_0 (deleted)
/data/data/####/6eac3792e525f610_0
/data/data/####/6eac3792e525f610_1
/data/data/####/740c7a29138edca4_0
/data/data/####/75ff452c45f670c5_0
/data/data/####/75ff452c45f670c5_1
/data/data/####/824f9b300f035f40_0
/data/data/####/8a55252b7763c76d_0
/data/data/####/949f9cf49fa9ceae_0
/data/data/####/95d8dbaf4c139afb_0 (deleted)
/data/data/####/Compression.dex
/data/data/####/Compression.dex.flock (deleted)
/data/data/####/Cookies-journal
/data/data/####/WebViewChromiumPrefs.xml
/data/data/####/classes.dex
/data/data/####/classes.dex;classes2.dex
/data/data/####/classes.oat
/data/data/####/d9c254d6c0418ddb_0
/data/data/####/dcf63a68c8edd20c_0
/data/data/####/http_hzbox.top_0.localstorage-journal
/data/data/####/index
/data/data/####/libjiagu.so
/data/data/####/metrics_guid
/data/data/####/proc_auxv
/data/data/####/the-real-index
/data/data/####/www.yoyo.pet_preferences.xml
/data/media/####/ec.txt
/data/media/####/null
/data/misc/####/primary.prof
Miscellaneous:
Executes the following shell scripts:
/system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
/system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/_RunDex_/Compression.dex --oat-fd=102 --oat-location=/data/user/0/<Package>/files/_RunDex/Compression.dex --compiler-filter=speed
Uses the following algorithms to decrypt data:
Uses special library to hide executable bytecode.
Gets information about network.
Displays its own windows over windows of other apps.
Рекомендации по лечению
Android
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK