溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
Phobos勒索軟件變種分析報告是怎樣的,針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。
Phobos勒索軟件家族新變種,該勒索軟件家族于2019年初被發現,并不斷更新病毒變種。此變種最早于2019年9月末被發現,其傳播方式主要為RDP暴力破解和釣魚郵件。此勒索軟件變種使用“RSA+AES”算法加密文件,暫時沒有解密工具。程序運行后不僅加密文檔文件還會加密可執行文件,并在加密后創建兩種類型的勒索信,一種為txt格式,另一種為hta格式。Phobos勒索軟件家族在全球多個行業擴散,感染面積大,變種更新頻繁。
我們分析發現,Phobos勒索軟件家族與2016年出現的CrySIS/Dharma勒索軟件家族所使用的加密方式、部分代碼段、勒索信外觀與內容,以及用于加密文件的命名方式都較為相似。不排除為同一作者或Phobos勒索軟件攻擊者購買、利用CrySIS/Dharma勒索軟件相關代碼。
經驗證,IEP可實現對Phobos勒索軟件家族變種的查殺與有效防護。
表 2 1 Phobos勒索軟件新變種概覽
| 傳播方式 | RDP(遠程桌面控制協議)暴力破解,釣魚郵件 |
|---|---|
| 加密文件命名方式 | <原文件名>+<原文件后綴名>+<勒索信中的個人ID>+<聯系郵箱>+<.deal> |
| 聯系方式 | butters.felicio@aol.com |
| 加密文件類型 | 所有文件格式 |
| 勒索幣種與金額 | 比特幣(實際金額通過郵箱與攻擊者溝通后得知) |
| 是否有針對性 | 不具備針對性 |
| 能否解密 | 暫時不能解密 |
| 是否內網傳播 | 否 |
| 勒索信界面 |  |
Phobos勒索軟件家族從2019年初期開始在全球流行,并持續更新以致出現了大量變種。通過RDP暴力破解和釣魚郵件等方式擴散到企業與個人用戶中,感染數量持續增長。
圖2- 1 Phobos勒索軟件家族變種演進史
表 3 1 Phobos勒索軟件新變種樣本信息
| 病毒名稱 | Trojan/Win32.Wacatac |
|---|---|
| 原始文件名 | AntiRecuvaAndDB.exe |
| MD5 | 4CBCF650C75C6CD0CC16ED24C3B24DE6 |
| 文件大小 | 50.5 KB (51,712 字節) |
| 時間戳 | 2019-06-19 08:00:06 |
| 數字簽名 | 無 |
| 加殼類型 | 無 |
| 編譯語言 | Microsoft Visual C++ |
| VT首次上傳時間 | 2019-10-07 14:43:13 |
| VT檢測結果 | 57/70 |
此次勒索軟件變種使用了“RSA+AES”加密算法對文件進行加密,加密后的文件名為:
<原文件名>+<原文件后綴名>+<勒索信中的個人ID>+<聯系郵箱>+<.deal>
被加密文件如下圖所示。
圖3- 1 被加密文件
該勒索軟件變種加密后生成兩種類型的勒索信,一種后綴名為.txt格式,另一種后綴名為.hta格式。此新變種勒索信內容與以往的Phobos勒索軟件勒索信內容有所不同,Phobos勒索軟件家族其它變種的勒索信中會告知受害者如何購買比特幣支付贖金,但此變種的勒索信中并未體現,只表達了受害者的文件已被加密,并告知聯系郵箱地址等信息。
圖3- 2 txt格式勒索信內容對比
圖3- 3 hta格式勒索信內容對比
關閉系統防火墻
勒索軟件利用netsh命令關閉防火墻。
圖3- 4 關閉并禁用防火墻
禁用并關閉防火墻,命令如下(兩條命令功能相同,但適用于不同的操作系統):
netsh advfirewall set currentprofile state offnetsh firewall set opmode mode=disable
添加注冊表實現開機自啟動
將自身復制到系統“啟動”文件夾,實現自啟動功能,路徑如下:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\System\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
圖3- 5 將自身復制到%Startup%啟動文件夾中
圖3- 6 將自身復制到%AppData%啟動文件夾中
添加注冊表啟動項,以達到開機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
將家族變種版本信息追加到加密文件中
該勒索軟件變種對文件內容加密完成后,在文件末尾追加兩部分數據。一部分為對應文件擴展名的加密數據,另一部分是該勒索軟件家族的變種標識,使用不同的數據來區別不同版本的Phobos勒索軟件變種。兩個部分數據前面均通過“0”字節填充將其與加密內容分開。
圖3- 7 文件末尾追加數據
提醒廣大用戶,及時備份重要文件,且文件備份應與主機隔離;及時安裝更新補丁,避免一切勒索軟件利用漏洞感染計算機;對非可信來源的郵件保持警惕,避免打開附件或點擊郵件中的鏈接;盡量避免打開社交媒體分享的來源不明的鏈接,給信任網站添加書簽并通過書簽訪問;避免使用弱口令或統一的口令;確保所有的計算機在使用遠程桌面服務時采取VPN連接等安全方式,如果業務上無需使用遠程桌面服務,建議將其關閉;可以使用反病毒軟件(如智甲)掃描郵件附件,確認安全后再運行。
目前,IEP可實現對Phobos勒索軟件家族變種的查殺與有效防護。
圖4- 1 防護界面
關于Phobos勒索軟件變種分析報告是怎樣的問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
