近日，一款號稱安卓版“永恒之藍”的手機勒索病毒，冒充熱門游戲王者榮耀外掛，在手機端大規模擴散，目前已經產生王者榮耀CDK生成器、王者榮耀美化、黑客工具寶盒等更多新變種，用戶一旦中招，將會面臨巨額勒索費用，如果拒不支付，一周之內相關加密文件就可能被刪除。對此，360團隊針對新變種病毒及時發布了手機勒索病毒對抗恢復工具，幫助已經中招的用戶修復文件安全，并更經過更深入的分析跟進，發現了此勒索病毒更多細節，以及其背后更大的下線團伙，目前在360的技術追蹤下，制造并傳播該病毒的不法分子的已被相關部門鎖定。。

圖1：病毒作者號稱這是“永恒之藍”安卓版，并在自己的QQ空間，大肆炫耀宣傳

手機勒索病毒新變種頻發 360及時跟進發布最新恢復工具效果顯著

據了解，6月2日在接到360社區用戶的中病毒反饋后，360方面便第一時間完成了樣本逆向分析，對外發布了勒索病毒恢復工具。而在6月3日，360方面監測到該勒索病毒已經通過新加密方式變種開始傳播，并陸續發現了王者榮耀CDK生成器、王者榮耀美化黑客工具寶盒等新變種，因而，360方面及時跟進，持續監控新變種并迅速發布了最新的恢復工具。目前來看，360針對該手機勒索病毒感染文件的修復效果較為顯著，基本能夠恢復用戶中招的全部數據，獲得了社區用戶的一致好評。

圖2：Android版“永恒之藍”時間線同時，360方面通過對冒充王者榮耀輔助的勒索軟件進行詳細分析后，發現并鎖定了該病毒作者的QQ賬號以及該病毒生成器的歷史淵源。通過對病毒生成器的挖掘，360方面發現了多達數百個相同包名(com.mzbahkbb)的病毒生成器，從代碼中可以看到與病毒作者都有關聯，從而推測出其實該病毒作者發展的下線團伙。因而，360方面迅速跟進，鎖定了該病毒制造者的個人信息，從源頭上最快速度阻止了病毒的進一步傳播和擴散。

圖3:360鎖定病毒制作分子個人信息

深挖勒索病毒背后犯罪團伙 360提示用戶正規渠道下載

360手機安全衛士專家表示，這款手機勒索病毒目前已產生諸多新變種大規模擴散，并通過網站、qq群組、視頻等方式廣泛傳播。并且，該病毒的制作者還通過在網絡上有償發布“病毒生成器”等發展下線的方式進一步加速病毒的擴散和傳播。由于其偽裝成時下最為熱門的《王者榮耀》手游輔助工具，且病毒新變種頻發，將會繼續濫用相關熱門應用外殼，脫離騰訊方面對其的控制，對于普通用戶的誘導性極強，一旦進一步蔓延，將為安卓用戶的個人數據隱私安全帶來極大風險。

圖43：網站傳播

54：QQ群傳播

圖65：視頻傳播

因而，360方面溫馨提示廣大安卓手機用戶，在下載手機APP時，盡量選擇可信度較高、安全性較強、大品牌的正規下載渠道和支付渠道，比如360應用商店手機助手等，同時不要輕信他人讒言，誤點誤傳可疑應用，下載360手機衛士等隨時監測偵察安卓手機的設備情況，從源頭上杜絕勒索病毒的感染和傳播。