目录 第一章勒索中的“免流”...........3 一、勒索软件擅于伪装后传播.......3 二、特殊的伪装——免流软件.......3 第二章免流软件.6 一、定义与分类.......6 二、两大必备因素...8 三、原理.......9 四、免流模式实例.10 五、定向流量卡.....11 第三章付费免流软件生态.......12 一、完整的角色分工.........12 二、免流QQ群.....14 三、免流的“风险”与“暗阱”...15 结束语.....20 360烽火实验室..20 第一章勒索中的“免流” 勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法 正常使用设备，并以支付解锁对用户进行勒索的软件。近年来，360烽火实验室始终密切关 注勒索软件发展动向，并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版 本系统在对抗勒索软件方面的新特性进行了深入研究。在对勒索软件的长期跟进中我们发现， 勒索软件是一类非常擅长伪装自己的软件，为了诱导用户下载安装运行，勒索软件通常会伪 装成各种极具诱惑力、通过不正规手段牟利的软件，例如游戏外挂、代刷、盗版应用、WIFI 密码破解、抢红包等等，这些软件拥有一定的用户群与传播途径，勒索软件正是利用了其易 吸引用户、传播快的特点玩起了“假面游戏”。 一、勒索软件擅于伪装后传播 截止到2018年2月，360烽火实验室共捕获到Android恶意勒索软件80万个，而其中 几乎所有的勒索软件都对自己进行了伪装，对这些勒索软件分类统计后发现，勒索软件的伪 装类别多达十多种，其中以外挂辅助类最为普遍，流氓软件与色情类软件次之。图1勒索软件伪装类别分布 二、特殊的伪装——免流软件 在这些伪装类别中，我们发现有一类与日常生活中不可或缺的手机流量相关的软件—— 免流软件，这类软件名称多为“XX免流”或“XX云免”，号称能够让用户免流量费上网， 并以此吸引用户下载安装，实运行后却是勒索软件。 图2冒充免流软件的勒索软件 在我们捕获到的勒索软件中，冒充免流软件的样本占比1.81%，虽然占比工具类低，但 自成派别，数量不在少数，甚至超过了盗版软件。 大量勒索软件冒充免流软件进行传播的现象从侧面反映出了一个问题——免流软件本 身占据着相当用户与传播市场。实际上确实如此，移动互联的发展推动了智能手机的网络访 问量，特别是随着手机直播、在线视频、移动社交等产业的繁荣，智能手机流量的使用量不 断攀升。根据工信部2018年2月发布的《2017年通信业统计公报》，2017年各月户月均移 动互联网接入流量呈逐月增长的趋势，到12月已超过2G。图32017年各月当月户均移动互联网接入流量增长情况 然而在国内，移动数据流量并不便宜，数据流量使用量的攀升使得部分人开始寻求廉价 甚至免费的流量获取方法，免流软件应运而生并快速传播开来。截止到2018年2月，360 。。。。。。