Ich werde dies mit dem lustigsten beginnen, was der Malware-Entwickler getan hat. Der Entwickler, der diese Malware mit dem Label Android 6.0 Marshmallow, Version 6.0 (6) und dem Paketnamen com.xtrlee.fiehan erstellt hat , hat sich nicht mit einer Aktivität oder einem Overlay (war im Trend) oder mit einem Sperrbildschirm (dem neuesten Trend als) beschäftigt von jetzt) entweder. Sie entschieden sich für einen Vollbild-Toast (Sie haben ihn richtig gelesen). Hier ist was dumpsys window windowsund dumpsys appopsberichtet über Android 5.1 (getestet auf Android-x86).
Das erklärt mir, warum die Sicht nicht konstant war, sondern flackerte.
Im Gegensatz zu den Berechtigungen, die eine typische Ransomware benötigen würde, verlangte diese Malware vergleichsweise nichts Wesentliches. Die angeforderten gefährlichen Berechtigungen bestehen darin, alle in Ihrem externen Speicher verfügbaren Dateien (sowohl interne als auch externe SD-Karte) aufzulisten und Geräteinformationen wie Android ID, IMEI und andere Informationen aufzulisten, um Ihr Gerät eindeutig zu identifizieren.
Die App ist auf SDK Version 21 (Android 5.0, nicht 5.1) ausgerichtet und funktioniert unter Android 2.2 und höher (der Autor muss geplant haben, die ganze Welt zu unterwerfen). Die Daten des Benutzers würden meiner Meinung nach von dieser App niemals berührt, da sie nicht um die Erlaubnis zum Schreiben von externem Speicher gebeten hat .
Interessante Komponenten
Soweit ich verstanden habe, ist die Malware definitiv kein Kunstwerk. Es gibt eine Hauptaktivität, die dafür verantwortlich ist, das App-Symbol in der App-Schublade anzuzeigen. Es wirkt auch lustig. Wenn Sie die App zum ersten Mal starten, wird dem Benutzer ein Dialogfeld angezeigt, in dem er zum Geräteadministrator wird. Wenn Sie den Dialog abbrechen, wird er erneut erzeugt. Allerdings , wenn der Benutzer nicht unter den nächsten 10 Sekunden nicht handeln, wird der Dialog sofort entlassen und die Hauptaktivität ist deaktiviert . Automatische Katastrophenaversion, also cool.
So sieht dieser Dialog aus:
Die restlichen Komponenten sind verschiedene Empfänger, die bei der Geräteverwaltung und beim Starten der App nach Abschluss des Startvorgangs hilfreich sind.
Die Lösung
Sie haben also eine Reihe schrecklicher Fehler gemacht und glauben, dass Ihre Daten als Geiseln gehalten werden. Was tun Sie, um die Daten zu speichern und dieses vermeintliche Update-Lösegeld loszuwerden? Befolgen Sie einen der unten aufgeführten Ansätze:
USB-Debugging bereits aktiviert und autorisiert
Verwenden von adbund root access finden sie die apk unter / data / app / , entfernen sie und starten das gerät neu. Sie können dies auch durch eine benutzerdefinierte Wiederherstellung erreichen. Alternativ mitadb Allein können Sie die App zwangsweise stoppen.
adb shell am force-stop com.xtrlee.fiehan
Wenn der obige Befehl in Android 5.1.x nicht hilft, können Appops die Malware-Berechtigung zum Anzeigen des Toasts verweigern.
adb shell appops set com.xtrlee.fiehan TOAST_WINDOW deny
Verwenden Sie dieses Gelegenheitsfenster, um zu den Einstellungen des Geräteadministrators zu gelangen und die Ransomware zu deaktivieren. Wenn Sie dies veröffentlichen, sollten Sie in den Anwendungsmanager gehen und diese Malware deinstallieren.
USB-Debugging nicht aktiviert oder autorisiert
Wenn auf Ihrem Gerät kein USB-Debugging aktiviert ist, besteht Ihre einzige Hoffnung darin, zu booten Sicherheitsmodus. Glücklicherweise behindert die App das Power-Menü nicht (nicht zuletzt in Android 4.3 und höher), sodass Sie die Ein- / Aus-Taste lange drücken → Ausschalten lange drücken → auf OK tippen können, wenn Sie aufgefordert werden, im abgesicherten Modus neu zu starten. Sobald das Gerät in den abgesicherten Modus startet,
- Sie sollten die Sicherheitseinstellungen öffnen, die normalerweise unter Einstellungen App → Sicherheit → Geräteadministratoren → Ransomware deaktivieren. Wenn Ihnen ein Dialogfeld angezeigt wird, in dem die Daten gelöscht werden, ignorieren Sie es. Es wird zu diesem Zeitpunkt nicht mehr passieren.
- Sie sollten die App aus dem Anwendungsmanager entfernen, bei dem es sich mehr oder weniger um die App Einstellungen → Apps → Alle Apps → Tippen Sie auf den Eintrag der App → Deinstallieren.
- Sie sollten einen Neustart durchführen, um das Gerät im normalen Modus zu starten.
Und so habe ich diese Malware an diesem Tag mehrmals entfernt.
Empfehlung
Wenn Sie kein Power-User sind, wagen Sie sich nicht in unbekanntes Gebiet. Darauf kommt es an
- keine App seitlich laden;
- Einstellung für unbekannte Quellen immer deaktiviert lassen;
- Gewähren Sie niemals App-Berechtigungen für Geräte (auch nicht für Apps, die im Play Store installiert wurden), bis Sie sicher sind, dass die App sicher verwendet werden kann.
- Nehmen Sie sich eine Minute Zeit, um die schädliche Seite / Website zu melden, wenn Sie auf Ihre bevorzugte Websuchmaschine stoßen. Für Google können Sie hier Bericht erstatten .
- Verwenden Sie Ihren Kopf, bevor die Finger hineinspringen.
