惊现”伪FBI敲诈者”,虚构罪名勒索钱财

近日，百度安全实验室发现了一系列名为“伪FBI敲诈者”的勒索类病毒以及它的最新变种。该系列病毒会监控用户运行程序，显示伪造的FBI通告，诱骗用户支付300美元罚金解锁手机，用户无法使用其他任何程序，严重影响用户的正常使用。从该病毒的变化过程来看，该病毒制造者仍然在不断制造新的变种，加入了更多危害手段。

一、概述：

“伪FBI敲诈者”病毒频繁弹出设备管理器激活界面，强制自身界面在最上层，用户根本无法使用其他程序，除非支付所谓300美元“罚金”才能解除。其最新变种添加了获取手机号展示在勒索界面，并在付款界面启用前置摄像头以恐吓用户，更恐怖的是，病毒会加密手机中所有的照片、视频和文档等文件，即使强制删除了病毒，也仍然可能造成不可挽回的损失。

病毒流程如下：

1. 伪装成常用软件，打开即要求用户激活设备管理器。

2. 激活后，显示FBI通告，提示用户侵权，要求用户支付罚金。

3. 提示用户支付300美元罚金，解锁设备。

最新版变种添加了如下行为：

1、在诈骗主页面增加电话号码、签名印章等信息，以增加真实度：

2、在付款界面添加前置摄像头画面，以恐吓中招者。

3、加密手机里所有的图片、视频、pdf文档等文件：

二、病毒代码分析：

1. 发送用户country、imei等信息到C&C服务器：

2. 加密用户文件，该病毒会加密如下格式的文件，可能造成无法挽回的损失：

加密如上格式的文件

加密代码

3.  提示用户激活设备管理器，激活后无法直接卸载。

4. 设立定时任务，检测正在运行的程序，如果当前程序非敲诈者病毒程序，关闭当前程序，并启动敲诈者程序。

5. 诱骗支付罚金成功后，停止后台服务，取消激活设备管理器，删除敲诈者病毒程序。