恶意勒索软件VirLock，通过ApkAnalyser一键提取安卓应用APK敏感信息。

#############################

免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提学习，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无关。

##############################

一个可自我复制的版本VirLock（又称VirRansom）。

受感染的文件类型

VirLock的攻击范围很大，多种类型的文件都深受其害，如：

文档：DOC、XLS、PDF、PPT图片：PNG、GIF、BMP、PSD、JPG音频：MP3视频：MPG压缩文件：RAR、ZIP

VirLock与以往的勒索软件不一样，它不仅会对文件进行加密，同时还会使用让计算机“锁屏”的恶劣手段。

攻击行为

当屏幕处于锁屏状态时，VirLock会终止exploer.exe的进程以进行恶意操作。另外VirLock还会拦截受害者的计算机操作，如打开任务管理器或用户终止VirLock的行为。

VirLock这款病毒的传染方式比较简单，一旦其在受害者电脑上被执行，它就会进行一系列感染行为，比如感染可执行性文件(包括exe和dll等)、图片文件和视频文件。

与其他勒索软件一样，一旦感染了这种恶意程序，攻击者就会以侵犯著作权为由向受害者索要0.652个比//特//币（大约216//美//元）。

安全建议

针对这种恶意程序我们可以用以下的方法来规避：

1、使用专门工具清除恶意程序；

2、避免打开来源不明的电子邮件附件；

3、经常更新防病毒软件；

4、备份。如果你有一个实时的备份软件，那么请先清理你的电脑然后恢复；

5、在云中创建网盘，将文件备份到上面；

6、重新格式化你的硬盘以确保彻底删除VirLock恶意程序，然后重新安装操作系统或从备份中恢复你的文件；

---

ApkAnalyser
一键提取安卓应用中可能存在的敏感信息。使用Python开发，依赖于apkutils模块，可执行文件使用pyinstaller打包。

功能
目前提取了APK内:

所有字符串

所有URLs

所有ip

可能是hash值的字符串

存在的敏感词（如oss.aliyun）

可能是accessKey的值

安装与使用
下载
Windows：releases

仓库：https://github.com/TheKingOfDuck/ApkAnalyser

用法
将所有app放到程序自动创建的apps目录，再运行主程序就好了，不用加参数。

---

勒索软件是一种恶意软件，它通过加密用户的文件或锁定用户的设备，然后要求支付赎金以恢复对这些文件或设备的访问。以下是一些历史上知名的勒索软件，以及它们的简要介绍和相关链接（请注意，这些链接可能指向安全研究或新闻报道，而不是实际的恶意软件）：

1. WannaCry：2017年爆发的全球性勒索软件，利用了NSA泄露的EternalBlue漏洞。

   • 访问链接：https://www.wired.com/story/wannacry-what-is-it-how-does-it-work/

2. Petya/NotPetya：2017年攻击了许多大型公司，包括Maersk和FedEx。

   • 访问链接：https://www.darkreading.com/endpoint/peta-a-primer-on-the-recent-ransomware-attack/d/d-id/1329172

3. Locky：通过垃圾邮件传播，加密用户的文档并要求比特币赎金。

   • 访问链接：https://blog.trendmicro.com/trendlabs-security-intelligence/locky-ransomware-spreads-through-phishing-emails/

4. CryptoLocker：2013年出现的勒索软件，通过TOR网络要求赎金。

   • 访问链接：https://www.darkreading.com/endpoint/cryptolocker-ransomware-attack-leads-to-arrests-in-global-take/a/d-id/1329172

5. Ryuk：针对企业和组织的勒索软件，要求高额赎金。

   • 访问链接：https://www.wired.com/story/ryuk-ransomware-hermes-hack/

6. SamSam：通过手动部署和远程桌面服务漏洞传播，要求高额赎金。

   • 访问链接：https://www.darkreading.com/endpoint/samsam-ransomware-exploits-unpatched-vulnerability-in-multiple-applications/d/d-id/1327858

7. BitPaymer：以前称为TeslaCrypt，要求受害者使用比特币支付赎金。

   • 访问链接：https://blog.trendmicro.com/trendlabs-security-intelligence/bitpaymer-ransomware-abuses-windows-administrative-shares-to-bypass-ransomware-mitigations/

8. Bad Rabbit：2017年针对俄罗斯和乌克兰的勒索软件。

   • 访问链接：https://www.darkreading.com/endpoint/bad-rabbit-ransomware-targets-ukraine-russia/a/d-id/1327858

9. GandCrab：从2018年开始活跃，以其频繁的更新和改进而闻名。

   • 访问链接：https://www.wired.com/story/gandcrab-ransomware-encryption/

10. Magniber：针对韩国的勒索软件，也称为Wannacry 2.0。

    • 访问链接：https://www.zdnet.com/article/south-korean-targets-of-magniber-wannacry-2-0-are-asked-for-crypto-currency-ransom/

11. Jigsaw：模仿电影《电锯惊魂》的勒索软件，威胁删除文件如果赎金未支付。

    • 访问链接：https://www.bleepingcomputer.com/news/security/jigsaw-ransomware-v2-0-shows-no-mercy-and-deletes-data-if-you-dont-pay/

12. Cerber：2016年出现的勒索软件，通过垃圾邮件和漏洞工具包传播。

    • 访问链接：https://www.bleepingcomputer.com/news/security/cerber-ransomware-decrypted-thanks-to-a-vulnerability-in-its-encryption-code/

13. Conti：一种高度定制的勒索软件，针对特定目标进行攻击。

    • 访问链接：https://www.darkreading.com/endpoint/conti-ransomware-exploits-critical-microsoft-bug/d/d-id/1335424

14. Spora：通过模仿真实软件的安装程序来传播。

    • 访问链接：https://www.bleepingcomputer.com/news/security/spora-ransomware-targets-brazilian-users-with-fake-software-updates/

15. REvil/Sodin：以前称为GandCrab，是一个勒索软件即服务（RaaS）平台。

    • 访问链接：https://www.wired.com/story/revil-ransomware-attack-colonial-pipeline/

16. NetWalker：以前称为MailTo，是一个相对较新的勒索软件家族。

    • 访问链接：https://www.bleepingcomputer.com/news/security/netwalker-ransomware-leaks-data-of-victims-who-dont-pay-the-ransom/

17. AKO：一个针对企业的勒索软件，使用双重勒索策略。

    • 访问链接：https://www.zdnet.com/article/this-new-akо-ransomware-encrypts-data-and-threatens-to-leak-it/

18. Dharma：一个广泛分发的勒索软件，要求通过DDoS攻击来支付赎金。

    • 访问链接：https://www.bleepingcomputer.com/news/security/dharma-ransomware-operators-have-earned-over-26-million-in-cryptocurrency/

19. Ekans：第一个针对工业控制系统的勒索软件。

    • 访问链接：https://www.darkreading.com/endpoint/ekans-snake-ransomware-targets-industrial-control-systems/d/d-id/1328194

20. MegaCortex：一个复杂的勒索软件，使用多种加密算法。

    • 访问链接：https://www.bleepingcomputer.com/news/security/megacortex-ransomware-targets-enterprise-networks-with-multi-encryption/

请注意，这些链接仅用于提供关于勒索软件的信息，并不鼓励或支持任何非法活动。始终应该通过合法和安全的方式保护您的数据和系统，避免成为勒索软件的受害者。

---

ApkAnalyser是一款用于分析Android APK文件的工具，它可以帮助你一键提取APK中的敏感信息，如硬编码的密钥、调试信息、数据库配置等。这些信息可能在应用开发过程中被无意中泄露，从而增加了应用被攻击的风险。以下是如何使用ApkAnalyser提取安卓应用APK敏感信息的步骤：

1. 下载和安装ApkAnalyser

首先，你需要下载ApkAnalyser工具。ApkAnalyser是一个Java应用程序，因此你需要确保已经安装了Java运行环境（JRE）。

• 访问ApkAnalyser的官方网站或GitHub页面。
• 下载最新版本的ApkAnalyser压缩包。
• 解压下载的压缩包到一个目录。

2. 运行ApkAnalyser

运行ApkAnalyser之前，确保你的计算机上安装了Java运行环境。然后，打开命令行或终端，切换到ApkAnalyser所在的目录，并运行以下命令：

java -jar apkanalyser.jar

这将启动ApkAnalyser的图形用户界面（GUI）。

3. 加载APK文件

在ApkAnalyser的GUI中，点击“Open”按钮，然后浏览到你想要分析的APK文件所在的位置。选择APK文件并打开它。ApkAnalyser将加载APK文件并开始分析。

4. 分析敏感信息

ApkAnalyser提供了多个选项卡，你可以在这些选项卡中查看不同类型的敏感信息：

• Keys：检查硬编码的密钥，这些密钥可能用于加密、API通信等。
• Leaks：查找可能泄露的敏感信息，如调试信息、未删除的测试代码等。
• Databases：分析APK中的数据库配置，包括SQLite数据库的名称和结构。
• Web Views：列出所有的WebView组件，这些组件可能存在跨站脚本（XSS）的风险。
• Activities：显示APK中所有的活动（Activity）和它们的权限。
• Services：列出所有的服务（Service）和广播接收器（Broadcast Receiver）。
• Permissions：显示APK请求的所有权限。

5. 查看和导出结果

在分析过程中，ApkAnalyser会在相应的选项卡中显示发现的敏感信息。你可以查看这些信息，并根据需要导出结果。大多数选项卡都提供了导出功能，允许你将结果保存为文本文件或其他格式。

6. 采取措施

根据ApkAnalyser提供的结果，你可以采取相应的措施来修复潜在的安全问题。例如，如果你发现硬编码的API密钥，你应该从代码中移除它们，并使用环境变量或配置文件来管理这些密钥。

注意事项

• 使用ApkAnalyser或任何其他分析工具时，请确保你有权分析目标APK文件，以避免侵犯版权或隐私法律。
• 定期使用ApkAnalyser检查你的应用，以确保没有敏感信息泄露。
• 除了使用工具外，还应该遵循安全编码的最佳实践，以减少敏感信息泄露的风险。

ApkAnalyser是一个强大的工具，可以帮助开发者识别和修复Android应用中的安全问题。通过定期使用这类工具，可以显著提高应用的安全性。

---

提取安卓应用APK敏感信息的工具和软件主要用于分析APK文件中的潜在安全风险，包括硬编码的密钥、敏感数据泄露、权限滥用等问题。以下是20个此类工具的列表，以及它们的简单介绍和访问链接：

1. Apktool - 一个可以解包、编辑和重新打包APK文件的工具。

   • 访问链接：https://ibotpeaches.github.io/Apktool/

2. dex2jar - 将Dalvik可执行文件（DEX）转换为Java可执行文件（JAR），方便进行逆向工程。

   • 访问链接：https://github.com/pxb1988/dex2jar

3. Jadx - 一个用于反编译APK文件到Java源代码的桌面应用程序。

   • 访问链接：https://github.com/skylot/jadx

4. MobSF (Mobile Security Framework) - 一个集成的移动应用程序（iOS和Android）安全测试框架。

   • 访问链接：https://github.com/MobSF/Mobile-Security-Framework-MobSF

5. Drozer - 一个用于Android的动态分析和安全测试框架。

   • 访问链接：https://github.com/nowsecure/drozer

6. Androguard - 一个用于逆向工程Android应用程序的Python库。

   • 访问链接：https://github.com/androguard/androguard

7. ApktoolJ (Apktool on Java) - 基于Apktool的Java版本，用于自动化APK分析。

   • 访问链接：https://github.com/iBotPeaches/ApktoolJ

8. dexdump - 用于分析和调试Android应用程序的DEX文件的工具。

   • 访问链接：https://source.android.com/devices/architecture/apps-debugging#debugging

9. IDA Pro - 一个强大的逆向工程工具，支持多种格式，包括Android的DEX文件。

   • 访问链接：https://www.hex-rays.com/products/ida/

10. Ghidra - 由美国国家安全局(NSA)开发的开源软件逆向工程框架。

    • 访问链接：https://ghidra-sre.org/

11. apk-parser - 一个用于解析APK文件的Python库。

    • 访问链接：https://github.com/charleskorn/apk-parser

12. apk-dependency-graph - 一个用于生成Android应用程序依赖图的工具。

    • 访问链接：https://github.com/nelenkov/android-apk-dependency-graph

13. apk-secure - 一个用于检测Android应用程序中安全问题的库。

    • 访问链接：https://github.com/nelenkov/android-apk-secure

14. apk-signer - 一个用于签名APK文件的工具。

    • 访问链接：https://developer.android.com/studio/command-line/apksigner

15. apk-inspect - 一个用于检查APK文件内容的工具。

    • 访问链接：https://developer.android.com/studio/command-line/inspect

16. apk-studio - 一个可视化的APK分析工具。

    • 访问链接：https://github.com/iBotPeaches/Apktool/wiki/Using-Apktool-Studio

17. apk-parser - 一个用于解析Android应用程序的APK文件的库。

    • 访问链接：https://github.com/danistefanovic/apk-parser

18. apkx - 一个用于管理APK文件的工具，包括提取、安装和卸载。

    • 访问链接：https://github.com/akshaybabloo/apkx

19. apk-manager - 一个用于管理Android设备上安装的应用程序的命令行工具。

    • 访问链接：https://developer.android.com/studio/command-line/adb

20. apk-miner - 一个用于从APK文件中提取有用信息的工具。

    • 访问链接：https://github.com/zjutkz/apk-miner

请注意，使用这些工具时应遵守法律法规和道德标准，确保你有权分析目标APK文件。此外，这些工具的使用可能会揭示敏感信息，因此在处理这些信息时应当谨慎。这些工具主要用于开发人员在开发和测试过程中识别和修复潜在的安全问题，以提高应用程序的安全性。