Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.

КОРИСТУВАЧАМ

Закрити

Пошук

Цілодобова підтримка | Правила звернення

Напишіть

Запит через форму

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |

Бот самопідтримки Telegram

Ваші запити

Всі: -
Незакриті: -
Останій: -

Створити новий запит Поширені запитання

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

RU CN DE EN ES FR IT JP KZ UZ PL BY

Закрити

Сервіси

Сканери

Dr.Web vxCube

Вхід в аналізатор

Експертиза ВКІ

Вірусна бібліотека

База знань

Технології

Терміни

Навчання

Міфи

Міфи про антивіруси

Новини

Android.Locker.8634

Добавлен в вирусную базу Dr.Web: 2021-06-02

Описание добавлено: 2021-06-02

Technical information

Malicious functions:

Threat detection based on machine learning.

Contains typical locker code.

Network activity:

Connects to:

UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) a####.a####.com:80
TCP(HTTP/1.1) y####.pet:80
TCP(HTTP/1.1) sdk.51.la.####.com:80
TCP(HTTP/1.1) h####.top:80
TCP(TLS/1.0) h####.b####.com.####.com:443
TCP(TLS/1.0) z.c####.com:443
TCP(TLS/1.0) hm.b####.com:443
TCP(TLS/1.0) and####.google####.com:443
TCP(TLS/1.0) p####.google####.com:443
TCP(TLS/1.0) gm.mm####.com:443
TCP(TLS/1.0) 1####.217.19.202:443
TCP(TLS/1.0) c.c####.com:443
TCP(TLS/1.0) safebro####.google####.com:443
TCP(TLS/1.0) md####.google####.com:443
TCP(TLS/1.2) 1####.250.179.163:443
TCP(TLS/1.2) 1####.217.19.202:443
TCP(TLS/1.2) 1####.217.17.142:443

DNS requests:

a####.a####.com
and####.google####.com
c####.mm####.com
c.c####.com
collec####.51.la
h####.b####.com
h####.top
hm.b####.com
i####.c####.com
instant####.google####.com
md####.google####.com
p####.google####.com
s####.51.la
s4.c####.com
safebro####.google####.com
y####.pet
z3.c####.com

HTTP GET requests:

h####.top/
h####.top/?__CBK=####
h####.top/css/app.css
h####.top/favicon.ico
h####.top/img/1.jpg
h####.top/img/2.jpg
h####.top/img/3.jpg
h####.top/img/4.jpg
h####.top/img/5.jpg
h####.top/img/favicon.ico
h####.top/img/icon.png
sdk.51.la.####.com/js-sdk-pro.min.js
y####.pet/houtai/houtai.txt

HTTP POST requests:

a####.a####.com/api.php?act=####&app=####

File system changes:

Creates the following files:

/data/data/####/08425f25b4fb78f0_0
/data/data/####/1ad4784497b2a194_0
/data/data/####/1ad4784497b2a194_1
/data/data/####/1f0a705b61878261_0
/data/data/####/27b650c4bf4b3dc8_0
/data/data/####/2dd2d0f1ea5e8742_0
/data/data/####/307945853f912b79_0
/data/data/####/37609e7ea58fec37_0
/data/data/####/3ae5550a1ba84159_0
/data/data/####/3ae5550a1ba84159_1
/data/data/####/429a0b30ed726f09_0
/data/data/####/62d11a47114e1dc6_0
/data/data/####/67cc820f934daab2_0
/data/data/####/67cc820f934daab2_0 (deleted)
/data/data/####/6eac3792e525f610_0
/data/data/####/6eac3792e525f610_1
/data/data/####/740c7a29138edca4_0
/data/data/####/75ff452c45f670c5_0
/data/data/####/75ff452c45f670c5_1
/data/data/####/824f9b300f035f40_0
/data/data/####/8a55252b7763c76d_0
/data/data/####/949f9cf49fa9ceae_0
/data/data/####/95d8dbaf4c139afb_0 (deleted)
/data/data/####/Compression.dex
/data/data/####/Compression.dex.flock (deleted)
/data/data/####/Cookies-journal
/data/data/####/WebViewChromiumPrefs.xml
/data/data/####/classes.dex
/data/data/####/classes.dex;classes2.dex
/data/data/####/classes.oat
/data/data/####/d9c254d6c0418ddb_0
/data/data/####/dcf63a68c8edd20c_0
/data/data/####/http_hzbox.top_0.localstorage-journal
/data/data/####/index
/data/data/####/libjiagu.so
/data/data/####/metrics_guid
/data/data/####/proc_auxv
/data/data/####/the-real-index
/data/data/####/www.yoyo.pet_preferences.xml
/data/media/####/ec.txt
/data/media/####/null
/data/misc/####/primary.prof

Miscellaneous:

Executes the following shell scripts:

/system/bin/dex2oat --instruction-set=x86 --dex-file=<Package Folder>/.jiagu/classes.dex --dex-file=<Package Folder>/.jiagu/classes.dex:classes2.dex --oat-file=<Package Folder>/.jiagu/classes.oat --inline-depth-limit=0 --compiler-filter=speed
/system/bin/dex2oat --runtime-arg -classpath --runtime-arg & --instruction-set=x86 --instruction-set-features=smp,ssse3,sse4.1,sse4.2,-avx,-avx2,-lock_add,popcnt --runtime-arg -Xrelocate --boot-image=/system/framework/boot.art --runtime-arg -Xms64m --runtime-arg -Xmx512m --instruction-set-variant=x86 --instruction-set-features=default --dex-file=/data/user/0/<Package>/files/_RunDex_/Compression.dex --oat-fd=102 --oat-location=/data/user/0/<Package>/files/_RunDex/Compression.dex --compiler-filter=speed

Uses the following algorithms to decrypt data:

AES-CBC-PKCS5Padding

Uses special library to hide executable bytecode.

Gets information about network.

Displays its own windows over windows of other apps.

Рекомендации по лечению

Android

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play