为了解决当前学术界研究勒索软件时所面临的缺乏系统全面数据集的现状,我们针对Android平台收集了2,721个勒索软件样本,涵盖了大多数现有的Android勒索软件系列。基于这些样本,我们从几个方面系统地描述它们,包括时间线和恶意特征。现有反病毒工具对样本集的检测结果却不尽如人意,这显然需要定制的反移动勒索软件解决方案。为了检测通过加密数据来勒索用户的勒索软件,我们提出了一种新的实时检测系统,称为RansomProber。通过分析相关活动的UI小部件和用户手指移动的坐标,RansomProber可以推断文件加密操作是否由用户发起。实验结果表明,RansomProber可以有效地检测加密勒索软件,具有高精度和可接受的运行时性能。
