自从几年前成为网络罪犯的主流工具以来,勒索软件已经彻底摧毁了一些组织。从大WannaCry爆发2017年以行业为重点的攻击琉克在2019年,勒索的得到了钩在全球业务,并显示没有停止的迹象。这包括被称为火卫勒索恶意软件家族,恐惧的希腊神命名。

Phobos是那些一个又一个勒索制造器家属认为主要针对采用尝试和测试战术渗透到系统的组织。虽然这种勒索可能已经创造了不同的别名,许多人认为它的旁枝或变体 - 如果不是敲竹杠-的达摩勒索家人这也被称为孤岛危机.这是由于火卫一业务和技术的肖像最近佛法株。

福波斯勒索,像Sodinokibi,都是在地下卖的勒索作为一种服务(RAAS)包。这意味着,小罪犯没有技术​​诀窍可以创建一个套件的帮助下自己勒索应变,组织一场运动,反对他们的预期目标。

然而,研究人员Coveware注意到与他们的同行相比,火卫的操作人员“缺乏组织性和专业性”,这最终导致了更长的赎金谈判,在解密过程中,火卫勒索软件受害者检索文件和系统也更加复杂。

火卫一的勒索软件感染途径

火卫一可以通过几种方式进入系统:开放的或不安全的远程桌面协议(RDP)在端口3389连接,蛮力RDP凭证,使用偷来的,买了RDP的凭据,老时尚网络钓鱼.火卫一运营商还可以利用恶意附件、下载、补丁利用和软件漏洞来访问组织的端点和网络。

火卫一的勒索主要目标的企业;然而,已经有消费者发现自己的脸对脸与该对手的几份报告,太。

Phobos勒索软件感染的症状

受Phobos勒索软件变种影响的系统显示以下症状:

赎金票据存在。在感染病毒后,Phobos会以文本(. txt)和可执行网络文件(. hta)格式发送两封勒索信息。在Phobos完成文件加密后,后者会自动打开。

该HTA赎金,这会议指出是佛法勒索信的改版

以下是纸条的片段:

您的所有文件已与您的电脑安全问题的加密所致。如果要恢复它们,我们写电子邮件[email地址1]

您的留言[生成的ID]的标题写这个ID

如果没有从我们的邮件答复,则可以支持安装Jabber客户端,并写信给我们[email地址2]

你需要为比特币解密付费。价格要看你方多快回信。付款后,我们将给您发送解密工具,将解密您的所有文件。

正如你所看到的,火卫一运营商都要求受害者与他们联系在他们的勒索软件感染事件。

在其他变体的一些注释中,通过Jabber到达威胁行动者的指示没有包括在内。

除了相关渠道受害者可以达到威胁的演员,这赎金说明还包含关于他们如何能够获得比特币,以及如何安装Messenger客户端的信息。

该TXT赎金,这显着低于其对应的HTA短。这意味着,非高科技精明的受害者将不得不求助于做自己的研究来了解不熟悉的术语。请注意,虽然这个包含电子邮件地址的HTA文件还发现,它不包含生成的ID。

!!!您的所有文件进行加密!

要解密它们,请发送电子邮件到这个地址:[电子邮件地址1]

如果没有从我们的邮件答复,则可以支持安装Jabber客户端,并写信给我们[email地址2]

在开启了HTA的勒索信(据说这标志着火卫一加密系统的终结)之后,我们观察到这是继续在后台运行,并编码新的文件,它被编程为加密积极勒索。它可以在此使用或不使用Internet连接。

加密文件与扩展名过了好久,追加字符串。Phobos使用AES-256和RSA-1024非对称加密方式对目标文件进行加密。Phobos和Dharma都实现了相同的RSA算法;然而,Phobos从Windows Crypto API使用它,而Dharma从第三方静态库使用它。在加密时,它在加密文件的末尾附加一个复合扩展名。它实现了格式或公式:

.ID [ID][电子邮件地址1]。(添加扩展)

在公式中,(ID)在勒索指定所生成的ID号。这是一个两部分组成的字母数字字符串:受害者ID和版本ID,分离用破折号。(电子邮件地址1)是电子邮件地址,受害者被规定使用伸手的威胁者。这也是在勒索信中指定。最后,(添加扩展)是一个扩展,火卫一的威胁者决定他们的勒索与相关联。下面是已知扩展火卫一的用途:

  • 1500美元
  • 肌动蛋白
  • 阿克顿
  • 演员
  • 阿克夫
  • Acuna
  • 急性
  • 格言
  • ad
  • 亚当
  • 板胡
  • 班卓琴
  • 银行
  • 邦塔
  • 巴拉克
  • 英国广播公司
  • 融合
  • BORISHORSE
  • bqux
  • 迦勒
  • 卡莱斯
  • 迦勒
  • Calle
  • 卢旺姆
  • 卡尔沃
  • 资本
  • com
  • 分布式拒绝服务
  • 交易
  • 两点
  • 德弗
  • 魔鬼
  • 迪沃
  • 德文郡
  • 狄维士
  • 杜瓦
  • 弹出
  • 延长
  • Elbie
  • 长辈
  • Frendi
  • help
  • 卡尔洛
  • 业力
  • 曼巴
  • 火卫一
  • 凤凰
  • PLUT
  • 钱包
  • 石斧

例如,新的文件名为sample.bmp加密后的sample.bmp.id [23043 c5d - 2394]。(agagekeys@qq.com) .Caleb

Phobos加密文件的扩展名如下:

然而,它跳过编码在下面的操作系统文件和文件C:\Windows文件夹:

  • BOOT.INI
  • bootfont.bin
  • ntldr
  • ntdetect.com
  • IO.SYS

火卫一完全编码的文件与可以被归类为典型的尺寸。对于大文件,但是,它执行不同的算法,其中它部分地加密这样的文件的所选部分。这是一种有效的方法,严厉削减它需要加密大文件,并在同一时间,最大限度地提高,如果出现错误,其解密它可以做这样的文件损坏的时间。

该勒索软件攻击所有本地驱动器以及网络共享中的文件。

终止流程。众所周知,Phobos勒索软件会终止受影响系统上的以下活动进程,这样就没有程序可以阻止它访问文件并最终加密:

删除影子副本和本地备份。像Sodinokibi等勒索家属,火卫一删除卷影副本和文件的备份,以防止用户恢复加密的文件,因此,强迫他们做威胁演员的招投标。

系统在恢复模式无法启动。恢复模式是Windows系统天生的。如果用户遇到技术缺陷导致系统崩溃或得到破坏,因此由该缺陷重装前的最后一个已知状态恢复OS到正常状态的选项。火卫一删除通过防止用户进入该模式这个选项。

禁用防火墙。我们已经知道,防火墙阻止的恶意软件可能会被允许进入受影响的系统。

保护您的系统免受Phobos勒索软件

必威平台APP伪的签名的检测少从火卫一加上实时的反恶意软件和反勒索软件技术,识别和保护消费者和企业用户勒索攻击的各个阶段。

我们建议消费者和IT管理员采取以下措施来保护和减轻Phobos勒索软件的攻击:

  • 设置您的RDP服务器,这是建立在Windows操作系统中,要拒绝的公网IP访问TCP端口3389,默认端口Windows远程桌面的侦听。如果您或您的企业有没有必要RDP,不如干脆禁用该服务。关键系统或系统的敏感信息不应该启用RDP。
  • 除了RDP端口阻塞,我们还建议阻塞TCP端口445,默认端口a服务器消息块(SMB)使用的通信基于Windows在网络外围。请注意,您或您的组织可能有深入的做测试,看看你的系统和/或程序也受此影响块。作为一个经验法则,禁止所有未使用的端口。
  • 允许RDP访问在您或您的组织控制下的ip。
  • 启用RDP访问企图的日志记录,并定期审查他们检测潜在入侵的情况。
  • 强制使用强密码和帐户锁定的Active Directory域策略和本地Windows帐户。
  • 执行多因素认证(MFA)到RDP和本地帐户登录只要有可能。
  • 强制使用虚拟专用网络(vpn)如果您的组织允许员工远程工作。
  • 想出并执行一个合理的备份策略
  • 保持你的系统上运行的服务和应用程序的清单,并定期审查。对于关键系统,最好有一个适当的主动监测和预警方案。
  • 在一个成功的突破口通过RDP发生的情况下,地方的灾难恢复方案。
  • 把你所有的软件,包括操作系统和反恶意软件,跟上时代的。

最后要注意,如果你把所有的个人或组织资源的适当锁定并固定,而你或者对你的组织坚持以良好的网络卫生习惯,几乎没有什么可怕约福波斯或一般任何勒索。

妥协指标(IOCs)

  • e59ffeaf7acb0c326e452fa30bb71a36
  • eb5d46bf72a013bfc7c018169eb1739b
  • fa4c9359487bbda57e0df32a40f14bcd

各位,希望2020年没有威胁!