2011奥巴马调侃特朗普白宫晚宴(先是特朗普再到奥巴马)
2011奥巴马调侃特朗普白宫晚宴(先是特朗普再到奥巴马)taskkill /f /im VsTskMgr.exetaskkill /f /im Mcshield.exetaskkill /f /im KVXP.kxptaskkill /f /im Rav.exetaskkill /f /im Ravmon.exe
每隔一段时间,我们就会遇到一些看上去非常奇怪的恶意软件。一个在最近被发现的勒索软件就是这样,它只会对受感染计算机上的.exe文件进行加密,随后显示一个带有美国第44任总统奥巴马照片的窗口,用于告知受害者如何才能够解密文件。
关于这个勒索软件的信息最初是由安全团队MalwareHunterTeam通过Twitter发布的,它拥有一个奇怪的命名——“Barack Obama's Everlasting Blue Blackmail Virus”,如下面的文件属性截图所示:
在执行之后,这个勒索软件将杀死与卡巴斯基、迈克菲和瑞星等防病毒软件相关的各种进程。执行杀死目标进程的命令如下所示:
taskkill /f /im kavsvc.exe
taskkill /f /im KVXP.kxp
taskkill /f /im Rav.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Mcshield.exe
taskkill /f /im VsTskMgr.exe
然后,它将扫描计算机中的.exe文件并加密它们。在加密文件时,它会将所有的.exe文件设定为目标,甚至是位于Windows文件夹下的.exe文件。这同样是一个令人费解的地方,之前被发现的其他勒索软件通常都会主动避开Windows文件夹。因为,加密Windows文件夹下的.exe文件很容易导致操作系统的正常运行出现异常,甚至导致系统崩溃。
作为加密过程的一部分,这个勒索软件还将修改与.exe文件关联的注册表键值,以便他们能够替换原始文件的图标,并在每次有人启动这些可执行文件时运行病毒。修改后的注册表键值如下所示:
HKLM\SOFTWARE\Classes\exe
HKLM\SOFTWARE\Classes\exe\
HKLM\SOFTWARE\Classes\exe\EditFlags 2
HKLM\SOFTWARE\Classes\exe\DefaultIcon
HKLM\SOFTWARE\Classes\exe\DefaultIcon\ C:\Users\User\codexgigas_.exe 0
HKLM\SOFTWARE\Classes\exe\Shell
HKLM\SOFTWARE\Classes\exe\Shell\Open
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\ "C:\Users\User\codexgigas_.exe" "%1"
值得注意的是,从这个勒索软件所弹出的窗口我们可以看到,它要求受害者使用QQ电子邮箱(2200287831@qq.com)与攻击者进行联系,以获取有关如何支付赎金的说明。勒索信息原文如下:
Hello your computer is encrypted by me! Yeah that means your EXE file isn't open! Because I encrypted it.
So you can decrypt it but you have to tip it. This is a big thing. You can email this email: 2200287831@qq.com gets more information.
目前,我们尚不清楚这个勒索软件是如何进行分发的,以及攻击者是否会在受到赎金时提供解密密钥。 不过,可以确信的是,奥巴马并不是唯一一位遭到勒索软件开发者恶搞的美国总统。在2016年美国总统大选之前,安全研究员Lawrence Abrams就发现了一款名为“Donald Trump Ransomware”的勒索软件,使用了美国现任总统唐纳德·特朗普的照片。
相比而言,Donald Trump Ransomware更像是“恶搞”,因为它自带有解密功能。当受害者点击解密按钮之后,它就会解密被加密的文件。Lawrence Abrams认为,它可能是一个仍处于开发阶段的版本,其开发者只是在测试它的功能。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。