Phobos勒索软件变种分析报告是怎样的

发布时间:2021-12-20 11:33:48 作者:柒染
来源:亿速云 阅读:152

Phobos勒索软件变种分析报告是怎样的,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

一、概述

   Phobos勒索软件家族新变种,该勒索软件家族于2019年初被发现,并不断更新病毒变种。此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件。此勒索软件变种使用“RSA+AES”算法加密文件,暂时没有解密工具。程序运行后不仅加密文档文件还会加密可执行文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。Phobos勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。

我们分析发现,Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容,以及用于加密文件的命名方式都较为相似。不排除为同一作者或Phobos勒索软件攻击者购买、利用CrySIS/Dharma勒索软件相关代码。

经验证,IEP可实现对Phobos勒索软件家族变种的查杀与有效防护。

二、Phobos勒索软件概览

表 2 1 Phobos勒索软件新变种概览

传播方式RDP(远程桌面控制协议)暴力破解,钓鱼邮件
加密文件命名方式<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.deal>
联系方式butters.felicio@aol.com
加密文件类型所有文件格式
勒索币种与金额比特币(实际金额通过邮箱与攻击者沟通后得知)
是否有针对性不具备针对性
能否解密暂时不能解密
是否内网传播
勒索信界面Phobos勒索软件变种分析报告是怎样的            

2.1 Phobos勒索软件家族演进史

Phobos勒索软件家族从2019年初期开始在全球流行,并持续更新以致出现了大量变种。通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。

Phobos勒索软件变种分析报告是怎样的

图2- 1 Phobos勒索软件家族变种演进史

三、Phobos勒索软件新变种样本分析

3.1 Phobos勒索软件新变种样本标签

表 3 1 Phobos勒索软件新变种样本信息

病毒名称Trojan/Win32.Wacatac
原始文件名AntiRecuvaAndDB.exe
MD54CBCF650C75C6CD0CC16ED24C3B24DE6
文件大小50.5 KB (51,712 字节)
时间戳2019-06-19  08:00:06
数字签名
加壳类型
编译语言Microsoft Visual C++
VT首次上传时间2019-10-07 14:43:13
VT检测结果57/70

3.2 被加密文件格式

此次勒索软件变种使用了“RSA+AES”加密算法对文件进行加密,加密后的文件名为:

<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.deal>

被加密文件如下图所示。

Phobos勒索软件变种分析报告是怎样的

图3- 1 被加密文件

3.3 Phobos勒索软件勒索信

该勒索软件变种加密后生成两种类型的勒索信,一种后缀名为.txt格式,另一种后缀名为.hta格式。此新变种勒索信内容与以往的Phobos勒索软件勒索信内容有所不同,Phobos勒索软件家族其它变种的勒索信中会告知受害者如何购买比特币支付赎金,但此变种的勒索信中并未体现,只表达了受害者的文件已被加密,并告知联系邮箱地址等信息。

Phobos勒索软件变种分析报告是怎样的

图3- 2 txt格式勒索信内容对比

Phobos勒索软件变种分析报告是怎样的

图3- 3 hta格式勒索信内容对比

3.4 Phobos勒索软件新变种行为分析

关闭系统防火墙

勒索软件利用netsh命令关闭防火墙。

Phobos勒索软件变种分析报告是怎样的

图3- 4 关闭并禁用防火墙

禁用并关闭防火墙,命令如下(两条命令功能相同,但适用于不同的操作系统):

netsh advfirewall set currentprofile state offnetsh firewall set opmode mode=disable

添加注册表实现开机自启动

将自身复制到系统“启动”文件夹,实现自启动功能,路径如下:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\System\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Phobos勒索软件变种分析报告是怎样的

图3- 5 将自身复制到%Startup%启动文件夹中

Phobos勒索软件变种分析报告是怎样的

图3- 6 将自身复制到%AppData%启动文件夹中

添加注册表启动项,以达到开机启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

将家族变种版本信息追加到加密文件中

该勒索软件变种对文件内容加密完成后,在文件末尾追加两部分数据。一部分为对应文件扩展名的加密数据,另一部分是该勒索软件家族的变种标识,使用不同的数据来区别不同版本的Phobos勒索软件变种。两个部分数据前面均通过“0”字节填充将其与加密内容分开。

Phobos勒索软件变种分析报告是怎样的

图3- 7 文件末尾追加数据

四、防护建议与IEP防护视频演示链接

提醒广大用户,及时备份重要文件,且文件备份应与主机隔离;及时安装更新补丁,避免一切勒索软件利用漏洞感染计算机;对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;尽量避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问;避免使用弱口令或统一的口令;确保所有的计算机在使用远程桌面服务时采取VPN连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭;可以使用反病毒软件(如智甲)扫描邮件附件,确认安全后再运行。

目前,IEP可实现对Phobos勒索软件家族变种的查杀与有效防护。

Phobos勒索软件变种分析报告是怎样的

图4- 1 防护界面

关于Phobos勒索软件变种分析报告是怎样的问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

推荐阅读:
  1. 勒索软件解密网址
  2. Wannacry勒索软件母体主程序逆向分析

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

上一篇:kylin怎样安装使用

下一篇:网口PHY的IEEE802.3地址定义是什么

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》