首页 > 问答 正文

Phobos勒索软件变种分析报告 phobos勒索病毒caley

时间:2023-10-20 作者:佚名

本文是小编为Phobos勒索软件变种分析报告撰写,不知道Phobos勒索软件变种分析报告的朋友可以通过下文了解:

一、概述

近日,安天CERT在梳理网络安全事件时发现Phobos勒索软件家族新变种,该勒索软件家族于2019年初被发现,并不断更新病毒变种。此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件。此勒索软件变种使用“RSA+AES”算法加密文件,暂时没有解密工具。程序运行后不仅加密文档文件还会加密可执行文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。Phobos勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。

我们分析发现,Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容,以及用于加密文件的命名方式都较为相似。不排除为同一作者或Phobos勒索软件攻击者购买、利用CrySIS/Dharma勒索软件相关代码。

经验证,安天智甲终端防御系统(英文简称IEP)可实现对Phobos勒索软件家族变种的查杀与有效防护。

二、Phobos勒索软件概览

表 2 1 Phobos勒索软件新变种概览

传播方式RDP(远程桌面控制协议)暴力破解,钓鱼邮件加密文件命名方式<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.deal>联系方式butters.felicio@aol.com加密文件类型所有文件格式勒索币种与金额比特币(实际金额通过邮箱与攻击者沟通后得知)是否有针对性不具备针对性能否解密暂时不能解密是否内网传播否勒索信界面 2.1 Phobos勒索软件家族演进史

Phobos勒索软件家族从2019年初期开始在全球流行,并持续更新以致出现了大量变种。通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。

图2- 1 Phobos勒索软件家族变种演进史

三、Phobos勒索软件新变种样本分析3.1 Phobos勒索软件新变种样本标签

表 3 1 Phobos勒索软件新变种样本信息

病毒名称Trojan/Win32.Wacatac原始文件名AntiRecuvaAndDB.exeMD54CBCF650C75C6CD0CC16ED24C3B24DE6文件大小50.5 KB (51,712字节)时间戳2019-06-19 08:00:06数字签名无加壳类型无编译语言Microsoft Visual C++VT首次上传时间2019-10-07 14:43:13VT检测结果57/703.2 被加密文件格式

此次勒索软件变种使用了“RSA+AES”加密算法对文件进行加密,加密后的文件名为:

<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.deal>

被加密文件如下图所示。

图3- 1 被加密文件

3.3 Phobos勒索软件勒索信

该勒索软件变种加密后生成两种类型的勒索信,一种后缀名为.txt格式,另一种后缀名为.hta格式。此新变种勒索信内容与以往的Phobos勒索软件勒索信内容有所不同,Phobos勒索软件家族其它变种的勒索信中会告知受害者如何购买比特币支付赎金,但此变种的勒索信中并未体现,只表达了受害者的文件已被加密,并告知联系邮箱地址等信息。

图3- 2 txt格式勒索信内容对比

图3- 3 hta格式勒索信内容对比

3.4 Phobos勒索软件新变种行为分析

关闭系统防火墙

勒索软件利用netsh命令关闭防火墙。

图3- 4 关闭并禁用防火墙

禁用并关闭防火墙,命令如下(两条命令功能相同,但适用于不同的操作系统):

netshadvfirewallsetcurrentprofilestateoffnetshfirewallsetopmodemode=disable

添加注册表实现开机自启动

将自身复制到系统“启动”文件夹,实现自启动功能,路径如下:

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup

C:UsersSystemAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

图3- 5 将自身复制到%Startup%启动文件夹中

图3- 6 将自身复制到%AppData%启动文件夹中

添加注册表启动项,以达到开机启动的目的:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

将家族变种版本信息追加到加密文件中

该勒索软件变种对文件内容加密完成后,在文件末尾追加两部分数据。一部分为对应文件扩展名的加密数据,另一部分是该勒索软件家族的变种标识,使用不同的数据来区别不同版本的Phobos勒索软件变种。两个部分数据前面均通过“0”字节填充将其与加密内容分开。

图3- 7 文件末尾追加数据

四、防护建议与IEP防护视频演示链接

提醒广大用户,及时备份重要文件,且文件备份应与主机隔离;及时安装更新补丁,避免一切勒索软件利用漏洞感染计算机;对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;尽量避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问;避免使用弱口令或统一的口令;确保所有的计算机在使用远程桌面服务时采取VPN连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭;可以使用反病毒软件(如智甲)扫描邮件附件,确认安全后再运行。

目前,安天智甲终端防御系统可实现对Phobos勒索软件家族变种的查杀与有效防护。

图4- 1 智甲拦截防护界面

Phobos勒索软件变种-无IEP防护视频演示链接:https://v.qq.com/x/page/f3009m1k7r3.html

Phobos勒索软件变种-IEP防护视频演示链接:https://v.qq.com/x/page/b3009ta9lj4.html

相信读者朋友经过小编一番耐心的解答已经对“Phobos勒索软件变种分析报告”已经有较深的了解,若还存在疑惑可通过站内搜索找到答案。

本文信息为网友自行发布旨在分享与大家阅读学习,文中的观点和立场与本站无关,如对文中内容有异议请联系处理。

本文链接:https://www.paituo.cc/ask/1153911.html

  • 小编推荐

    俄罗斯多年前就已成功入侵加密的 多年前俄罗斯健美2

    本文讲述最新披露:俄罗斯多年前就已成功入侵加密的,简介如下本文是小编为最新披露:俄罗斯多年前就已成功入侵加密的撰写,不知道最新披露:俄罗斯多年前就已成功入侵加密的的朋友可以通过下文了解:根据雅虎新闻近日发布的一份深度报...

    黑客也翻车,储存窃取数据的数据库被曝光

    本文讲述黑客也翻车,储存窃取数据的数据库被曝光,简介如下本文是小编为黑客也翻车,储存窃取数据的数据库被曝光撰写,不知道黑客也翻车,储存窃取数据的数据库被曝光的朋友可以通过下文了解:一说起MongoDB数据库,大部分人...

    国家计算机病毒中心发布违规APP和SDK名单 国家计算机病毒中心主任

    本文讲述国家计算机病毒中心发布违规APP和SDK名单,简介如下本文是小编为国家计算机病毒中心发布违规APP和SDK名单撰写,不知道国家计算机病毒中心发布违规APP和SDK名单的朋友可以通过下文了解:国家计算机病毒中心发布违...

    17万“人脸数据”公开售卖被下架 人脸数据泄露

    本文讲述17万“人脸数据”公开售卖被下架,简介如下本文是小编为17万“人脸数据”公开售卖被下架撰写,不知道17万“人脸数据”公开售卖被下架的朋友可以通过下文了解:近日,北京青年报记者发现,在网络商城中有商家公开...

    揭秘地下黑客论坛最流行的恶意软件和黑客工具

    本文讲述揭秘地下黑客论坛最流行的恶意软件和黑客工具,简介如下本文是小编为揭秘地下黑客论坛最流行的恶意软件和黑客工具撰写,不知道揭秘地下黑客论坛最流行的恶意软件和黑客工具的朋友可以通过下文了解:通过对RecordedFu...

    近20年来唯一一次

    本文讲述港交所网站遭攻击:近20年来唯一一次,简介如下本文是小编为港交所网站遭攻击:近20年来唯一一次撰写,不知道港交所网站遭攻击:近20年来唯一一次的朋友可以通过下文了解: 综合各渠道消息称,港交所总裁李小加表示...

    研究发现从Stack 研究发现从弱关系中获取信息的创业者

    本文讲述研究发现从Stack,简介如下本文是小编为研究发现从Stack撰写,不知道研究发现从Stack的朋友可以通过下文了解:现在从网上找代码直接复制到项目中的做法成为程序员的一种常规操作,Stac...

    美国能源革命重大突破,第一次实现了可控核聚变的点火 抓住第三次能源革命重大机遇

    本文讲述美国能源革命重大突破,第一次实现了可控核聚变的点火,简介如下本文是小编为美国能源革命重大突破,第一次实现了可控核聚变的点火撰写,不知道美国能源革命重大突破,第一次实现了可控核聚变的点火的朋友可以通过下文了解:2022年1...