近日，百度安全實驗室發現了一系列名為“偽FBI敲詐者”的勒索類病毒以及它的最新變種。該系列病毒會監控用戶運行程序，顯示偽造的FBI通告，誘騙用戶支付300美元罰金解鎖手機，用戶無法使用其他任何程序，嚴重影響用戶的正常使用。從該病毒的變化過程來看，該病毒制造者仍然在不斷制造新的變種，加入了更多危害手段。

一、概述：

“偽FBI敲詐者”病毒頻繁彈出設備管理器激活界面，強制自身界面在最上層，用戶根本無法使用其他程序，除非支付所謂300美元“罰金”才能解除。其最新變種添加了獲取手機號展示在勒索界面，并在付款界面啟用前置攝像頭以恐嚇用戶，更恐怖的是，病毒會加密手機中所有的照片、視頻和文檔等文件，即使強制刪除了病毒，也仍然可能造成不可挽回的損失。

病毒流程如下：

1. 偽裝成常用軟件，打開即要求用戶激活設備管理器。

2. 激活后，顯示FBI通告，提示用戶侵權，要求用戶支付罰金。

3. 提示用戶支付300美元罰金，解鎖設備。

最新版變種添加了如下行為：

1、在詐騙主頁面增加電話號碼、簽名印章等信息，以增加真實度：

2、在付款界面添加前置攝像頭畫面，以恐嚇中招者。

3、加密手機里所有的圖片、視頻、pdf文檔等文件：

二、病毒代碼分析：

1. 發送用戶country、imei等信息到C&C服務器：

2. 加密用戶文件，該病毒會加密如下格式的文件，可能造成無法挽回的損失：

加密如上格式的文件

加密代碼

3.  提示用戶激活設備管理器，激活后無法直接卸載。

4. 設立定時任務，檢測正在運行的程序，如果當前程序非敲詐者病毒程序，關閉當前程序，并啟動敲詐者程序。

5. 誘騙支付罰金成功后，停止后臺服務，取消激活設備管理器，刪除敲詐者病毒程序。