5月中旬，一款独特的安卓加密木马在病毒作者论坛上发售。要价是5000美元。几天后的5月18日，我们在野外看到了一个新的移动加密程序特洛伊木马的出现，我们将其检测为特洛伊木马Ransom.AndroidOS.Pletor.A。

截至6月5日，我们在13个国家发现了2000多例感染，这些国家主要分布在前苏联：阿塞拜疆、白俄罗斯、加拿大、格鲁吉亚、德国、希腊、哈萨克斯坦、韩国、俄罗斯、新加坡、塔吉克斯坦、乌克兰和乌兹别克斯坦。特洛伊赎金的峰值是在5月22日，当时我们记录了超过500例新感染。

在撰写本文时，我们已经成功识别了超过30个木马修改，这些修改可以分为两组。第一种使用Tor网络与所有者进行通信；第二种使用更标准的HTTP和SMS通道。另外，当第二组的修改需要用户付费时，他们会使用智能手机的前置摄像头显示受害者的图像。

特洛伊勒索木马背后的创造者。AndroidOS。Pletor。利用相同的主题（“观看被禁色情（恋童癖，动物癖等），你的手机已被屏蔽！“）作为针对Windows的早期版本加密程序的编写器。

在所有其他方面，各种特洛伊木马Ransom.AndroidOS.Pletor.a修改的功能没有区别。启动特洛伊木马程序后，将开始使用AES加密算法加密智能手机存储卡的内容。它对以下扩展名的媒体文件和文档感兴趣：.jpeg、.jpg、.png、.bmp、.gif、.pdf、.doc、.docx、.txt、.avi、.mkv、.3gp、.mp4。

立即特洛伊勒索。安德鲁多斯。普莱托。a显示勒索要求。我们发现的所有木马修改都显示了一条俄文消息，针对的用户来自两个国家：俄罗斯和乌克兰。网络罪犯向受害者索要260格里夫纳，或1000-1200卢布。他们使用QIWI VISA钱包、Moneyx或手机间的标准汇款来接收付款。

结果发现特洛伊勒索。AndroidOS。Pletor.a不使用短信垃圾邮件传播；在大多数情况下，它是从伪装成媒体播放器的假色情网站传播的。我们也看到了它作为一个游戏或Android的一个方便的应用程序传播的案例。特洛伊勒索。安德鲁多斯。普莱托。a也通过一个主要的俄语手机论坛传播。

如果你的智能手机感染了特洛伊赎金。AndroidOS.Pletor.a，我们建议你不要付钱给罪犯。我们看到的所有特洛伊木马版本都包含一个密钥，可用于解密受影响的文件。您也可以通过[email protected]写信给我们，附上受感染的文件。