Android版本的”Wannacry”文件加密病毒样本分析(附带锁机)

一、病毒样本分析

点击免费激活，出现授权界面：



需要设备管理器，是想修改锁机密码，我们就授权，然后分析程序找到重置的密码就好了；授权之后，就被锁屏了，解锁屏幕会出现：



病毒作者真够狠的，竟然自己弄了一个浮窗锁机，这时候我们不得不看代码了，找到这个密码了。其实该锁机很容易解决的，因为他主要是借助windowmanager搞的，所以这时候可以连接adb使用命令可以直接干掉这个进程就好了：am force-stop pkgname；我们可以用dumpsys命令获取其包名：



然后再强制停止app即可：

shell@pisces:/am force-stop com.jk.mwifi

停止后就是解锁屏幕了，当然密码已经被篡改了，所以要分析软件了，当然如果设备root了，可以直接删除/data/system/password.key文件即可。

二、破解获取解锁密码

第一、获取锁屏密码

由于大部分锁机都是利用设备管理器修改设备密码的，所以，直接用jadx打开软件，然后全局搜索：DeviceAdminReceiver



然后看看这个类里面修改代码部分逻辑：



看到了，这里直接将手机的锁机密码修改成9815了。这个就是我们待会需要解锁的密码。

第二、浮窗锁机密码

这里是自己定义的浮窗锁机，所以直接看到锁机界面文字，去Jadx全局搜索即可，这里全局搜索“输入密码”：

进入到这个类即可：



这里定义了一个Service然后用WindowManager实现，然后把权限设置为最高，用户就无法进行任何操作了。因为最终的密码输入都是在这个EditText，取密码做比较也要用到这个文本框，就看这里的this.ed在哪里取值：



这里直接比对密码，如果密码正确了，就直接干掉服务，浮窗锁机就没有了。所以这里最重要的是decrypt方法了，他是从SP中拿到key是passw的密文进行解密比对。其实到这里我们可以借助Xposed工具直接hook这个decrypt方法就能很轻易的拿到这个密码了：



然后直接运行就可以获取对应的密码了：



我们继续手动分析这个加密算法，我们看看des变量定义：

DU du2 = new DU("flower");
this.des=du;
Context context=this;
try{
du=
}