Je vais commencer par la chose la plus drôle que le développeur de logiciels malveillants ait faite. Le développeur qui a créé ce malware avec l'étiquette Android 6.0 Marshmallow, la version 6.0(6) et le nom du package com.xtrlee.fiehan L'entreprise n'a pas eu recours à une activité ou à une superposition (qui était à la mode) ni à un écran de verrouillage (la dernière tendance actuelle). Ils ont décidé d'employer un Toast plein écran (vous avez bien lu). Voici ce qu'il en est dumpsys window windows y dumpsys appops signalé sur Android 5.1 (testé sur Android-x86).

Cela m'explique pourquoi la vue n'était pas constante mais vacillante.

Contrairement aux autorisations dont un ransomware classique a besoin, ce logiciel malveillant en comparaison, n'a rien demandé de significatif. Les autorisations dangereuses qu'il a demandé consistent à énumérer toutes les les fichiers disponibles dans votre stockage externe (carte SD interne et externe) et de lister les informations relatives à l'appareil, telles que Android ID, IMEI et d'autres informations permettant d'identifier votre appareil de manière unique.

L'application est prévue pour la version 21 du SDK (Android 5.0, pas 5.1) et fonctionnerait sur Android 2.2 et plus (l'auteur a dû prévoir de soumettre le monde entier). A mon avis, les données de l'utilisateur ne seraient jamais touchées par cette application puisqu'elle ne demande pas l'autorisation de l'utilisateur. permission d'écrire sur le stockage externe .

Des composants intéressants

D'après ce que j'ai compris, le logiciel malveillant n'est certainement pas une œuvre d'art. Il a une activité principale qui est responsable de l'affichage de l'icône de l'application dans le tiroir des applications. Il agit également de manière amusante. Si vous lancez l'application la toute première fois, l'utilisateur verra apparaître une boîte de dialogue pour en faire un administrateur de périphérique. Si vous annulez la boîte de dialogue, l'application s'affiche à nouveau. Cependant, si l'utilisateur n'agit pas dans les 10 secondes qui suivent, la boîte de dialogue est immédiatement rejetée et l'activité principale est désactivée. . Aversion automatique aux catastrophes, trop cool.

Voici à quoi ressemble ce dialogue :

Le reste des composants sont des récepteurs divers qui aident à l'administration du dispositif et au démarrage de l'application une fois le processus de démarrage terminé.

La solution

Donc, vous avez fait une série de terribles erreurs et vous pensez que vos données sont prises en otage. Que faites-vous pour sauver les données et vous débarrasser de cette supposée mise à jour-cum-ransom ? Suivez l'une des approches indiquées ci-dessous :

Débogage USB déjà activé et autorisé

使用方法 adb et l'accès Root, vous pouvez trouver l'apk sous /data/app/ Retirez-le et redémarrez l'appareil. Vous pouvez également réaliser cette opération à partir d'une restauration personnalisée. Alternativement, avec adb seul, vous pouvez forcer l'arrêt de l'application.

adb shell am force-stop com.xtrlee.fiehan

Si la commande ci-dessus ne vous aide pas, sous Android 5.1.x, vous pouvez demander à appops de refuser au logiciel malveillant l'autorisation d'afficher le toast.

adb shell appops set com.xtrlee.fiehan TOAST_WINDOW deny

Profitez de cette occasion pour accéder aux paramètres de l'administrateur du périphérique et désactiver le ransomware. Après cela, vous devriez aller dans le gestionnaire d'applications et désinstaller ce logiciel malveillant.

Le débogage USB n'est pas activé ou autorisé

Si le débogage USB n'est pas activé sur votre appareil, votre seul espoir semble être de démarrer en mode mode sécurisé . Heureusement, l'application n'obstrue pas le menu d'alimentation (du moins sous Android 4.3 et plus), de sorte que vous pouvez appuyer longuement sur le bouton Power → appuyer longuement sur Power off → appuyer sur OK lorsqu'on vous demande de redémarrer en mode sans échec. Une fois que l'appareil a démarré en mode sans échec,

1. vous devriez ouvrir les paramètres de sécurité qui se résument généralement à Paramètres app → Sécurité → Administrateurs de périphériques → désactiver le ransomware. Si l'on vous montre un dialogue indiquant que les données seraient effacées, ignorez-le. Cela ne se produira plus à ce stade.
2. vous devez supprimer l'application du gestionnaire d'applications qui est plus ou moins l'application Paramètres → Apps → Toutes les applications → appuyez sur l'entrée de l'application → Désinstaller.
3. vous devez faire un reboot pour démarrer l'appareil en mode normal.

Et c'est ainsi que j'ai supprimé ce logiciel malveillant plusieurs fois en ce jour.

Recommandation

Si vous n'êtes pas un utilisateur expérimenté, ne vous aventurez pas en territoire inconnu. Cela revient à

• pas de chargement latéral d'une application ;
• garder le paramètre Sources inconnues toujours désactivé ;
• n'accordez jamais de privilège d'administration de dispositif à une application (même à celles installées à partir du Play Store) avant d'être certain que l'application peut être utilisée en toute sécurité ;
• prenez une minute pour signaler la page ou le site malveillant rencontré à votre moteur de recherche Web préféré. Pour Google, vous pouvez signaler aquí .
• en utilisant ta tête avant que les doigts ne sautent.