近日,百度安全实验室发现了一系列名为“伪FBI敲诈者”的勒索类病毒以及它的最新变种。该系列病毒会监控用户运行程序,显示伪造的FBI通告,诱骗用户支付300美元罚金解锁手机,用户无法使用其他任何程序,严重影响用户的正常使用。从该病毒的变化过程来看,该病毒制造者仍然在不断制造新的变种,加入了更多危害手段。
一、概述:
“伪FBI敲诈者”病毒频繁弹出设备管理器激活界面,强制自身界面在最上层,用户根本无法使用其他程序,除非支付所谓300美元“罚金”才能解除。其最新变种添加了获取手机号展示在勒索界面,并在付款界面启用前置摄像头以恐吓用户,更恐怖的是,病毒会加密手机中所有的照片、视频和文档等文件,即使强制删除了病毒,也仍然可能造成不可挽回的损失。
病毒流程如下:
1. 伪装成常用软件,打开即要求用户激活设备管理器。
2. 激活后,显示FBI通告,提示用户侵权,要求用户支付罚金。
3. 提示用户支付300美元罚金,解锁设备。
最新版变种添加了如下行为:
1、在诈骗主页面增加电话号码、签名印章等信息,以增加真实度:
2、在付款界面添加前置摄像头画面,以恐吓中招者。
3、加密手机里所有的图片、视频、pdf文档等文件:
二、病毒代码分析:
1. 发送用户country、imei等信息到C&C服务器:
2. 加密用户文件,该病毒会加密如下格式的文件,可能造成无法挽回的损失:
加密如上格式的文件
加密代码
3. 提示用户激活设备管理器,激活后无法直接卸载。
4. 设立定时任务,检测正在运行的程序,如果当前程序非敲诈者病毒程序,关闭当前程序,并启动敲诈者程序。
5. 诱骗支付罚金成功后,停止后台服务,取消激活设备管理器,删除敲诈者病毒程序。
(文章内容如有侵权,敬请来信告知,我们将及时撤销)
