目录
第一章勒索中的“代刷”.........1
一、勒索软件伪装类别分布...1
二、主流的伪装类别——代刷软件...1
第二章代刷软件.3
一、定义与分类...........3
二、来源...........3
三、实现原理...4
四、示例...........5
第三章代刷产业分析.....7
一、角色分工...7
二、推广与盈利...........7
三、用户群分析...........9
四、相似的平台架构.10
五、加速移动化.........12
第四章代刷软件的危害...........14
一、代刷暗藏“杀机”.........14
二、统一治理.15
总结.........17
360烽火实验室17第一章勒索中的“代刷”
勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法
正常使用设备，并以支付解锁对用户进行勒索的软件。近年来，Android平台勒索软件以其
高危害、高伪装性、难卸载等特点一直是360烽火实验室关注的重点。针对勒索软件擅于伪
装成特定流行软件进行传播的现象，360烽火实验室对Android平台勒索软件伪装类别及相
关产业进行了持续跟踪与分析。在2018年3月初发表的《勒索软件“假面”系列——免流
软件》中，我们已经介绍了勒索软件的一类“假面”——免流软件，并对免流产业现状、原
理与危害做了详细阐述。近期，我们把目光瞄准了一类比免流软件更加常见的伪装类别——
代刷代挂类软件（以下简称代刷软件）
一、勒索软件伪装类别分布
从勒索软件伪装类别分布情况可以看到，勒索软件伪装类别以色情和黑客工具为主，而
在黑客工具中，代刷类占比位列第二，仅次于外挂、辅助类
图1.1勒索软件伪装类别分布
二、主流的伪装类别——代刷软件
伪装成代刷软件的勒索软件名称多为“XX代刷”、“XX代挂”或“XX业务”，实际运
行后会置顶特定窗口阻止用户进入桌面，或者申请设备管理器锁屏密码相关权限并在用户授
权后实施锁屏。图1.2冒充代刷软件的勒索软件
截止到2018年3月，360烽火实验室共捕获到超过20万个代刷软件，其中恶意勒索软
件占比高达57.4%，这些软件打着代刷、代挂的幌子诱导用户下载、安装或激活设备管理器，
随后对用户进行锁屏勒索，给用户设备与财产安全带来了严重威胁
大量勒索软件伪装成代刷软件传播充分反映了代刷软件拥有着可观的市场空间。实际上，
随着近两年来移动社交软件与视频直播软件的流行，越来越多的用户开始关注自身账户等级、
特权、以及粉丝量等指标，以少量金钱、时间换取高账户特权等级、高粉丝量成为了部分用
户的强烈诉求，代刷软件由此“应运而生”并飞速传播开来。通过对代刷软件进行持续跟进
与分析后发现，代刷软件以其价格低廉、功能齐全、兼容性强、操作简单、效果显著等特性
吸引了大量商家与用户，且从商家最初建站到用户最终购买已形成了清晰的产业链。。。。。。。