导语:MalwareHunterTeam发现了一款以巴拉克奥巴马命名的勒索软件,该软件仅加密可执行文件。

每隔一段时间就会遇到一个非常奇怪的恶意软件,例如新的勒索软件只能加密计算机上的.EXE文件。然后它会显示一个屏幕,上面有奥巴马总统的图片以及提供解密文件的“提示”。

Barack Obama勒索软件

MalwareHunterTeam首先推文,这个勒索软件有一个奇怪的标题“巴拉克奥巴马的永恒蓝色勒索病毒”,文件属性如下所示。

文件属性

执行后,此勒索软件将终止与卡巴斯基,迈克菲和瑞星杀毒软件等防病毒软件相关的各种进程。执行终止进程的命令是:

taskkill /f /im kavsvc.exetaskkill /f /im KVXP.kxptaskkill /f /im Rav.exetaskkill /f /im Ravmon.exetaskkill /f /im Mcshield.exetaskkill /f /im VsTskMgr.exe

然后,它将扫描计算机中的.exe文件并加密它们。加密文件时,它以所有.EXE文件为目标,甚至是位于Windows文件夹下的文件。过去使用加密可执行文件的其他勒索软件通常会避开Windows文件夹,因此不会导致操作系统正常执行出现问题。

加密可执行文件

作为加密过程的一部分,此勒索软件还将修改与.exe文件关联的注册表项,以便他们使用新图标并在每次有人启动可执行文件时运行病毒。修改后的键值如下所示。

HKLM\SOFTWARE\Classes\exe
HKLM\SOFTWARE\Classes\exe\
HKLM\SOFTWARE\Classes\exe\EditFlags2
HKLM\SOFTWARE\Classes\exe\DefaultIcon
HKLM\SOFTWARE\Classes\exe\DefaultIcon\C:\Users\User\codexgigas_.exe,0
HKLM\SOFTWARE\Classes\exe\Shell
HKLM\SOFTWARE\Classes\exe\Shell\Open
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\"C:\Users\User\codexgigas_.exe" "%1"

勒索软件界面中的消息指出,用户应与[email protected]上的攻击者联系以获取付款说明。

Hello, your computer is encrypted by me! Yeah, that means your EXE file isn't open! Because I encrypted it.So you can decrypt it, but you have to tip it. This is a big thing. You can email this email: [email protected] gets more information.

目前尚不清楚这些勒索软件是如何分发的,以及开发人员是否会在付费时提供解密密钥。

奥巴马并不是唯一一位拥有勒索软件的总统。在2016年美国总统大选之前,唐纳德特朗普勒索软件被发布。

特朗普勒索软件是一个内置解密的开发版本。

源链接

Hacking more

...