Entfernen Sie Ransomware-ähnliche Malware

7

Ich heruntergeladen android-6-marshmallow.apkaus

marshmallow-google(dot)com

( Warnung, gefälschte Ransomware- Malware! Nicht installieren! )

Es war eine gefälschte Anwendung, und ich konnte sie aufgrund des folgenden Bildschirms nicht löschen, und ich kann diesen Bildschirm nicht durchlaufen.

Ransomware

Wie entferne ich es?

hupo
quelle
Kommentare sind nicht für eine ausführliche Diskussion gedacht. Dieses Gespräch wurde in den Chat verschoben .
Izzy
Da in der mobilen Ablage eine Website für Erwachsene angezeigt wurde, habe ich sie geöffnet, und Sie wissen, was passiert ist *; (
hupo

Antworten:

8

Ich werde dies mit dem lustigsten beginnen, was der Malware-Entwickler getan hat. Der Entwickler, der diese Malware mit dem Label Android 6.0 Marshmallow, Version 6.0 (6) und dem Paketnamen com.xtrlee.fiehan erstellt hat , hat sich nicht mit einer Aktivität oder einem Overlay (war im Trend) oder mit einem Sperrbildschirm (dem neuesten Trend als) beschäftigt von jetzt) ​​entweder. Sie entschieden sich für einen Vollbild-Toast (Sie haben ihn richtig gelesen). Hier ist was dumpsys window windowsund dumpsys appopsberichtet über Android 5.1 (getestet auf Android-x86).

Geben Sie hier die Bildbeschreibung ein Geben Sie hier die Bildbeschreibung ein

Das erklärt mir, warum die Sicht nicht konstant war, sondern flackerte.

Im Gegensatz zu den Berechtigungen, die eine typische Ransomware benötigen würde, verlangte diese Malware vergleichsweise nichts Wesentliches. Die angeforderten gefährlichen Berechtigungen bestehen darin, alle in Ihrem externen Speicher verfügbaren Dateien (sowohl interne als auch externe SD-Karte) aufzulisten und Geräteinformationen wie Android ID, IMEI und andere Informationen aufzulisten, um Ihr Gerät eindeutig zu identifizieren.

Die App ist auf SDK Version 21 (Android 5.0, nicht 5.1) ausgerichtet und funktioniert unter Android 2.2 und höher (der Autor muss geplant haben, die ganze Welt zu unterwerfen). Die Daten des Benutzers würden meiner Meinung nach von dieser App niemals berührt, da sie nicht um die Erlaubnis zum Schreiben von externem Speicher gebeten hat .

Geben Sie hier die Bildbeschreibung ein

Interessante Komponenten

Soweit ich verstanden habe, ist die Malware definitiv kein Kunstwerk. Es gibt eine Hauptaktivität, die dafür verantwortlich ist, das App-Symbol in der App-Schublade anzuzeigen. Es wirkt auch lustig. Wenn Sie die App zum ersten Mal starten, wird dem Benutzer ein Dialogfeld angezeigt, in dem er zum Geräteadministrator wird. Wenn Sie den Dialog abbrechen, wird er erneut erzeugt. Allerdings , wenn der Benutzer nicht unter den nächsten 10 Sekunden nicht handeln, wird der Dialog sofort entlassen und die Hauptaktivität ist deaktiviert . Automatische Katastrophenaversion, also cool.

Geben Sie hier die Bildbeschreibung ein

So sieht dieser Dialog aus:

Geben Sie hier die Bildbeschreibung ein

Die restlichen Komponenten sind verschiedene Empfänger, die bei der Geräteverwaltung und beim Starten der App nach Abschluss des Startvorgangs hilfreich sind.

Die Lösung

Sie haben also eine Reihe schrecklicher Fehler gemacht und glauben, dass Ihre Daten als Geiseln gehalten werden. Was tun Sie, um die Daten zu speichern und dieses vermeintliche Update-Lösegeld loszuwerden? Befolgen Sie einen der unten aufgeführten Ansätze:

USB-Debugging bereits aktiviert und autorisiert

Verwenden von und root access finden sie die apk unter / data / app / , entfernen sie und starten das gerät neu. Sie können dies auch durch eine benutzerdefinierte Wiederherstellung erreichen. Alternativ mit Allein können Sie die App zwangsweise stoppen.

adb shell am force-stop com.xtrlee.fiehan

Wenn der obige Befehl in Android 5.1.x nicht hilft, können Appops die Malware-Berechtigung zum Anzeigen des Toasts verweigern.

adb shell appops set com.xtrlee.fiehan TOAST_WINDOW deny

Verwenden Sie dieses Gelegenheitsfenster, um zu den Einstellungen des Geräteadministrators zu gelangen und die Ransomware zu deaktivieren. Wenn Sie dies veröffentlichen, sollten Sie in den Anwendungsmanager gehen und diese Malware deinstallieren.

USB-Debugging nicht aktiviert oder autorisiert

Wenn auf Ihrem Gerät kein USB-Debugging aktiviert ist, besteht Ihre einzige Hoffnung darin, zu booten . Glücklicherweise behindert die App das Power-Menü nicht (nicht zuletzt in Android 4.3 und höher), sodass Sie die Ein- / Aus-Taste lange drücken → Ausschalten lange drücken → auf OK tippen können, wenn Sie aufgefordert werden, im abgesicherten Modus neu zu starten. Sobald das Gerät in den abgesicherten Modus startet,

  1. Sie sollten die Sicherheitseinstellungen öffnen, die normalerweise unter Einstellungen App → Sicherheit → Geräteadministratoren → Ransomware deaktivieren. Wenn Ihnen ein Dialogfeld angezeigt wird, in dem die Daten gelöscht werden, ignorieren Sie es. Es wird zu diesem Zeitpunkt nicht mehr passieren.
  2. Sie sollten die App aus dem Anwendungsmanager entfernen, bei dem es sich mehr oder weniger um die App Einstellungen → Apps → Alle Apps → Tippen Sie auf den Eintrag der App → Deinstallieren.
  3. Sie sollten einen Neustart durchführen, um das Gerät im normalen Modus zu starten.

Und so habe ich diese Malware an diesem Tag mehrmals entfernt.

Empfehlung

Wenn Sie kein Power-User sind, wagen Sie sich nicht in unbekanntes Gebiet. Darauf kommt es an

  • keine App seitlich laden;
  • Einstellung für unbekannte Quellen immer deaktiviert lassen;
  • Gewähren Sie niemals App-Berechtigungen für Geräte (auch nicht für Apps, die im Play Store installiert wurden), bis Sie sicher sind, dass die App sicher verwendet werden kann.
  • Nehmen Sie sich eine Minute Zeit, um die schädliche Seite / Website zu melden, wenn Sie auf Ihre bevorzugte Websuchmaschine stoßen. Für Google können Sie hier Bericht erstatten .
  • Verwenden Sie Ihren Kopf, bevor die Finger hineinspringen.
Feuerlord
quelle
@Firelord Der Virus kann den Launcher und alles andere als die Benachrichtigungsleiste auch ohne Administratorrechte überschreiben.
Grimoire
1
Ich habe mit BlueStack (Android 4.4.2) experimentiert, und wie Sie bereits erwähnt haben, ist die App sicher (obwohl dieser Overlay-Bildschirm ärgerlich ist ). Ich sehe nichts Verschlüsseltes und kann die App mit ADB beenden. Off-Topic: Ich sehe nicht, wie ich auf die Geräteverwaltung auf BlueStack zugreifen kann, selbst wenn ich ADB verwende. Daher kann ich die Malware nicht deinstallieren, aber ich glaube nicht, dass es Probleme mit den folgenden Schritten auf einem realen Gerät gibt.
Andrew T.
1
Ich hatte nicht erwartet, dass es einToast ... Ich dachte, es ist ein fehlerhafter Code. Zusätzliche Informationen basierend auf meinen Tests, die nützlich sein können, aber nicht unbedingt praktisch sind: Sie können immer noch über den Touchscreen navigieren, ohne in den abgesicherten Modus zu wechseln. Die Eingabe erfolgt über den Toast, aber Sie müssen sehr geduldig sein, um den Bildschirm zu sehen. Ich habe es geschafft, nur per Mausklick auf BlueStack in die Einstellungen - Apps - (die Informationen dieser App) zu gelangen, während dieser Toast noch aktiv ist.
Andrew T.
1
Ich habe es im abgesicherten Modus deinstalliert, vielen Dank,
hupo
1
Als Sie zuvor geantwortet haben, dass nichts verschwunden oder gelöscht sein wird, war es richtig, danke, und ich habe nach dieser "Avast Ransomeware-Entfernung" installiert
hupo