2011奥巴马调侃特朗普白宫晚宴（先是特朗普再到奥巴马）

2011奥巴马调侃特朗普白宫晚宴（先是特朗普再到奥巴马）taskkill /f /im VsTskMgr.exetaskkill /f /im Mcshield.exetaskkill /f /im KVXP.kxptaskkill /f /im Rav.exetaskkill /f /im Ravmon.exe

每隔一段时间，我们就会遇到一些看上去非常奇怪的恶意软件。一个在最近被发现的勒索软件就是这样，它只会对受感染计算机上的.exe文件进行加密，随后显示一个带有美国第44任总统奥巴马照片的窗口，用于告知受害者如何才能够解密文件。

关于这个勒索软件的信息最初是由安全团队MalwareHunterTeam通过Twitter发布的，它拥有一个奇怪的命名——“Barack Obama's Everlasting Blue Blackmail Virus”，如下面的文件属性截图所示：

在执行之后，这个勒索软件将杀死与卡巴斯基、迈克菲和瑞星等防病毒软件相关的各种进程。执行杀死目标进程的命令如下所示：

taskkill /f /im kavsvc.exe

taskkill /f /im KVXP.kxp

taskkill /f /im Rav.exe

taskkill /f /im Ravmon.exe

taskkill /f /im Mcshield.exe

taskkill /f /im VsTskMgr.exe

然后，它将扫描计算机中的.exe文件并加密它们。在加密文件时，它会将所有的.exe文件设定为目标，甚至是位于Windows文件夹下的.exe文件。这同样是一个令人费解的地方，之前被发现的其他勒索软件通常都会主动避开Windows文件夹。因为，加密Windows文件夹下的.exe文件很容易导致操作系统的正常运行出现异常，甚至导致系统崩溃。

作为加密过程的一部分，这个勒索软件还将修改与.exe文件关联的注册表键值，以便他们能够替换原始文件的图标，并在每次有人启动这些可执行文件时运行病毒。修改后的注册表键值如下所示：

HKLM\SOFTWARE\Classes\exe

HKLM\SOFTWARE\Classes\exe\

HKLM\SOFTWARE\Classes\exe\EditFlags 2

HKLM\SOFTWARE\Classes\exe\DefaultIcon

HKLM\SOFTWARE\Classes\exe\DefaultIcon\ C:\Users\User\codexgigas_.exe 0

HKLM\SOFTWARE\Classes\exe\Shell

HKLM\SOFTWARE\Classes\exe\Shell\Open

HKLM\SOFTWARE\Classes\exe\Shell\Open\Command

HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\ "C:\Users\User\codexgigas_.exe" "%1"

值得注意的是，从这个勒索软件所弹出的窗口我们可以看到，它要求受害者使用QQ电子邮箱（2200287831@qq.com）与攻击者进行联系，以获取有关如何支付赎金的说明。勒索信息原文如下：

Hello your computer is encrypted by me! Yeah that means your EXE file isn't open! Because I encrypted it.

So you can decrypt it but you have to tip it. This is a big thing. You can email this email: 2200287831@qq.com gets more information.

目前，我们尚不清楚这个勒索软件是如何进行分发的，以及攻击者是否会在受到赎金时提供解密密钥。 不过，可以确信的是，奥巴马并不是唯一一位遭到勒索软件开发者恶搞的美国总统。在2016年美国总统大选之前，安全研究员Lawrence Abrams就发现了一款名为“Donald Trump Ransomware”的勒索软件，使用了美国现任总统唐纳德·特朗普的照片。

相比而言，Donald Trump Ransomware更像是“恶搞”，因为它自带有解密功能。当受害者点击解密按钮之后，它就会解密被加密的文件。Lawrence Abrams认为，它可能是一个仍处于开发阶段的版本，其开发者只是在测试它的功能。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。