每隔一段时间就会遇到一个非常奇怪的恶意软件，例如新的勒索软件只能加密计算机上的.EXE文件。然后它会显示一个屏幕，上面有奥巴马总统的图片以及提供解密文件的“提示”。

Barack Obama勒索软件

MalwareHunterTeam首先推文，这个勒索软件有一个奇怪的标题“巴拉克奥巴马的永恒蓝色勒索病毒”，文件属性如下所示。

文件属性

执行后，此勒索软件将终止与卡巴斯基，迈克菲和瑞星杀毒软件等防病毒软件相关的各种进程。执行终止进程的命令是：

taskkill /f /im kavsvc.exetaskkill /f /im KVXP.kxptaskkill /f /im Rav.exetaskkill /f /im Ravmon.exetaskkill /f /im Mcshield.exetaskkill /f /im VsTskMgr.exe

然后，它将扫描计算机中的.exe文件并加密它们。加密文件时，它以所有.EXE文件为目标，甚至是位于Windows文件夹下的文件。过去使用加密可执行文件的其他勒索软件通常会避开Windows文件夹，因此不会导致操作系统正常执行出现问题。

加密可执行文件

作为加密过程的一部分，此勒索软件还将修改与.exe文件关联的注册表项，以便他们使用新图标并在每次有人启动可执行文件时运行病毒。修改后的键值如下所示。

HKLM\SOFTWARE\Classes\exe
HKLM\SOFTWARE\Classes\exe\
HKLM\SOFTWARE\Classes\exe\EditFlags2
HKLM\SOFTWARE\Classes\exe\DefaultIcon
HKLM\SOFTWARE\Classes\exe\DefaultIcon\C:\Users\User\codexgigas_.exe,0
HKLM\SOFTWARE\Classes\exe\Shell
HKLM\SOFTWARE\Classes\exe\Shell\Open
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\"C:\Users\User\codexgigas_.exe" "%1"

勒索软件界面中的消息指出，用户应与[email protected]上的攻击者联系以获取付款说明。

Hello, your computer is encrypted by me! Yeah, that means your EXE file isn't open! Because I encrypted it.So you can decrypt it, but you have to tip it. This is a big thing. You can email this email: [email protected] gets more information.

目前尚不清楚这些勒索软件是如何分发的，以及开发人员是否会在付费时提供解密密钥。

奥巴马并不是唯一一位拥有勒索软件的总统。在2016年美国总统大选之前，唐纳德特朗普勒索软件被发布。

特朗普勒索软件是一个内置解密的开发版本。