Phobos勒索软件

通过GoldSparrow在 Ransomware

翻译为：

威胁评分卡

威胁级别：	100 % (高的)
受感染的计算机：	1,621

初见：	July 24, 2009
最后一次露面：	July 16, 2020
受影响的操作系统：	Windows

Phobos Ransomware是一种加密勒索软件木马，于2017年10月21日首次被发现。PhobosRansomware被用于针对西欧和美国的计算机用户，并以英语向受害者发送其勒索信息。分发Phobos Ransomware的主要方式是通过使用垃圾邮件附件，这些附件可以显示为已启用宏的Microsoft Word文档。这些宏脚本旨在在访问损坏的文件后将Phobos Ransomware下载并安装到受害者的计算机上。 Phobos勒索软件很可能是独立的威胁，因为它似乎不属于勒索软件即服务（RaaS）提供商的庞大家族。

如何识别Phobos Ransomware加密的文件

与大多数其他类似的威胁一样，Phobos Ransomware的工作原理是使用强大的加密算法对受害者的文件进行加密。加密使文件不可访问，从而使Phobos Ransomware可以将受害者的数据劫为人质，直到受害者支付赎金为止。 Phobos Ransomware将针对用户生成的文件，其中可能包括具有以下扩展名的文件：

.aif，.apk，.arj，.asp，.bat，.bin，.cab，.cda，.cer，.cfg，.cfm，.cpl，.css，.csv，.cur，.dat，.deb ，.dmg，.dmp，.doc，.docx，.drv，.gif，.htm，.html，.icns，.iso，.jar，.jpeg，.jpg，.jsp，.log，.mid 、. mp3，.mp4，.mpa，.odp，.ods，.odt，.ogg，.part，.pdf，.php，.pkg，.png，.ppt，.pptx，.psd，.rar，.rpm， .rss，.rtf，.sql，.svg，.tar.gz，.tex，.tif，.tiff，.toast，.txt，.vcd，.wav，.wks，.wma，.wpd，.wpl， .wps，.wsf，.xlr，.xls，.xlsx，.zip。

从上面的列表中可以看出，Phobos Ransomware的目标是文档，媒体，图像和其他常用文件，并使用AES 256加密对其进行加密。受害者的文件被加密后，Phobos Ransomware将与其命令和控制服务器进行通信，以中继有关受感染计算机的数据，并接收配置数据。 Phobos Ransomware将通过将其名称更改为以下字符串来识别通过其攻击加密的文件：

..ID [八个随机字符]。[ottozimmerman@protonmail.ch] .PHOBOS

Phobos勒索软件的勒索要求

Phobos Ransomware以程序窗口的形式提供赎金字样，标题为"您的文件已加密！"。在受害者的文件被加密并重命名之后。该程序窗口的一个拐角处带有徽标" PHOBOS"，并声称受害者必须支付赎金才能恢复受感染的文件。赎金记录显示，Phobos Ransomware在攻击受害者计算机时显示为：

'您的所有文件均已加密
你好，世界
这台PC上的数据遇到了无用的二进制代码
要恢复正常，请通过以下电子邮件与我们联系：OttoZimmerman@protonmail.ch
将邮件主题设置为"加密ID：[8个随机字符]"
有趣的事实：
1.随着时间的推移，成本增加，不要浪费时间
2.当然，只有我们能为您提供帮助。
3.小心如果您仍然尝试查找该问题的其他解决方案，请对要进行实验的文件进行备份。和他们一起玩. 否则，它们可能会永久损坏。
4.任何为您提供帮助的服务或只是从您那里取钱而消失的服务，否则它们将是我们之间的中介，并具有虚高的价值。由于解毒剂仅是病毒的创造者之一
PHOBOS'

处理Phobos勒索软件

不幸的是，一旦Phobos Ransomware对文件进行了加密，就无法在没有解密密钥的情况下恢复受影响的文件。因此，采取先发制人的措施以确保数据受到良好保护非常重要。防范Phobos Ransomware等威胁的最佳方法是拥有可靠的备份系统。拥有所有文件的备份副本意味着Phobos Ransomware攻击的受害者可以在攻击后快速而可靠地恢复其数据。

2019年1月4日更新-'Job2019@tutanota.com'勒索软件

'Job2019@tutanota.com'勒索软件被归类为最初于2017年10月发布的Phobos勒索软件的稍有更新的变体。 " Job2019@tutanota.com"勒索软件出现在一年多以后，没有任何重大更新可显示。 ``Job2019@tutanota.com''勒索软件于2019年1月被发现，并且似乎以与其前身相同的方式传播。威胁有效载荷是通过嵌入到Microsoft Word文件中的宏脚本提供的，您可能会看到这些宏脚本附加到社交媒体和在线商店看似官方的更新中。 " Job2019@tutanota.com"勒索软件可能会在主系统驱动器上创建一个临时文件夹，并在任务管理器中加载一个随机名称的进程。 " Job2019@tutanota.com"勒索软件木马配置为在对照片，文本，音乐和视频进行编码之前删除卷影快照。已知该新变种通过两个电子邮件帐户（" Job2019@tutanota.com"和" Cadillac.407@aol.com"）促进解密服务。赎金记录的样式设置为一个小的程序窗口，其颜色与默认的Windows 10主题相同，并且具有蓝色。据报道，该木马程序显示一个名为"您的文件已加密！"的窗口。该窗口似乎是从" Phobos.hta"加载的，该文件被放到Windows的Temp文件夹中，内容为：

'您的所有文件均已加密
你好，世界
这台PC上的数据变成了无用的二进制代码
要恢复正常，请通过以下电子邮件与我们联系：OttoZimmerman@protonmail.ch
将邮件的主题设置为"加密ID：[8位数字]
1.随着时间的推移，成本增加，不要浪费时间
2.当然，只有我们能为您提供帮助。
3.要小心！如果您仍然尝试查找该问题的其他解决方案，请制作要进行实验的文件的备份副本，然后使用它们进行播放。否则，它们可能会永久损坏
4.任何为您提供帮助的服务或只是从您那里取钱而消失的服务，否则它们将是我们之间的中介，并具有虚高的价值。由于解毒剂仅在病毒的创造者中

据说" Job2019@tutanota.com"勒索软件的某些变体会生成一个简单的对话框，而不是"您的文件已加密！"。屏幕显示：

'您的所有文件均已加密
要解密文件，请使用以下电子邮件与我们联系：[电子邮件地址]请设置主题"加密ID：[8位数字]"。
我们提供对您的测试文件的免费解密作为证明。您可以将它们附加到您的电子邮件中，我们将向您发送解密后的电子邮件。
解密价格会随着时间的流逝而增加，赶快获得折扣.
使用第三方解密可能会导致欺诈或价格上涨。

受影响的数据可能会收到两个扩展名之一-" .ID- [8位数字]。[Job2019@tutanota.com] .phobos"或" .ID- [8位数字]。[Job2019@tutanota.com] .phobos 。"例如，" Sabaton-Carolus Rex.mp3"可以重命名为" Sabaton-Carolus Rex.mp3.ID-91651720。[Job2019@tutanota.com] .phobos"和" Sabaton-Carolus Rex.mp3.ID-68941751"。 [Job2019@tutanota.com] .phobos。我们建议您避免与勒索软件参与者进行谈判，因为您可能不会收到解密器。您应该使用数据备份来重建文件结构并运行完整的系统扫描，以删除" Job2019@tutanota.com"勒索软件可能留下的资源。

别名

5 个安全供应商将此文件标记为恶意文件。

防毒软件	检测
CAT-QuickHeal	Win32.Trojan.Obfuscated.gx.3
AVG	Downloader.Obfuskated
Prevx1	Covert.Sys.Exec
Microsoft	TrojanDownloader:Win32/Agent.ZZC
AntiVir	TR/Crypt.XPACK.Gen

Phobos勒索软件截图

文件系统详情

Phobos勒索软件可能会创建以下文件：

展开全部 | 全部收缩

#	文件名	MD5	检测检测数： SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
1.	rrr_output7251B30.exe	b3b69dabf55cf7a7955960d0c0575c27	72
名称： rrr_output7251B30.exe MD5： b3b69dabf55cf7a7955960d0c0575c27 尺寸： 700.41 KB (700416 字节) 检测： 72 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output7251B30.exe 团体：恶意软件文件最近更新时间： July 15, 2020
2.	rrr_output713F8B0.exe	29d51846a76a1bfbac91df5af4f7570e	64
名称： rrr_output713F8B0.exe MD5： 29d51846a76a1bfbac91df5af4f7570e 尺寸： 565.24 KB (565248 字节) 检测： 64 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output713F8B0.exe 团体：恶意软件文件最近更新时间： July 15, 2020
3.	rrr_output8F2121F.exe	5d533ba319fe6fd540d29cf8366775b1	63
名称： rrr_output8F2121F.exe MD5： 5d533ba319fe6fd540d29cf8366775b1 尺寸： 638.97 KB (638976 字节) 检测： 63 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output8F2121F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
4.	rrr_outputEE209BF.exe	3677195abb0dc5e851e9c4bce433c1d2	59
名称： rrr_outputEE209BF.exe MD5： 3677195abb0dc5e851e9c4bce433c1d2 尺寸： 532.48 KB (532480 字节) 检测： 59 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputEE209BF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
5.	rrr_output89A8FEF.exe	75d594f166d438ded4f4f1495a9b57b6	51
名称： rrr_output89A8FEF.exe MD5： 75d594f166d438ded4f4f1495a9b57b6 尺寸： 548.86 KB (548864 字节) 检测： 51 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output89A8FEF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
6.	rrr_output354CF0.exe	360f782f4a688aba05f73b7a0d68ef43	51
名称： rrr_output354CF0.exe MD5： 360f782f4a688aba05f73b7a0d68ef43 尺寸： 581.63 KB (581632 字节) 检测： 51 类型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 16, 2020
7.	rrr_output7492970.exe	376625a4a031656f0667723cd601f333	49
名称： rrr_output7492970.exe MD5： 376625a4a031656f0667723cd601f333 尺寸： 684.03 KB (684032 字节) 检测： 49 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rrr_output7492970.exe 团体：恶意软件文件最近更新时间： July 16, 2020
8.	yvihok.exe	00db62e1b519159b0c20c00c2e97288b	46
名称： yvihok.exe MD5： 00db62e1b519159b0c20c00c2e97288b 尺寸： 258.56 KB (258560 字节) 检测： 46 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\yvihok.exe 团体：恶意软件文件最近更新时间： July 27, 2020
9.	rrr_outputE17E73F.exe	f9ef51967dcb4120df9919ac5423bc13	39
名称： rrr_outputE17E73F.exe MD5： f9ef51967dcb4120df9919ac5423bc13 尺寸： 548.86 KB (548864 字节) 检测： 39 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputE17E73F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
10.	rrr_outputDBB65DF.exe	cd16baef95d0f47387e7336ceab30e19	32
名称： rrr_outputDBB65DF.exe MD5： cd16baef95d0f47387e7336ceab30e19 尺寸： 598.01 KB (598016 字节) 检测： 32 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputDBB65DF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
11.	rr_output89224BF.exe	fb9df7345520194538db6eef48fb0652	31
名称： rr_output89224BF.exe MD5： fb9df7345520194538db6eef48fb0652 尺寸： 606.2 KB (606208 字节) 检测： 31 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rr_output89224BF.exe 团体：恶意软件文件最近更新时间： July 16, 2020
12.	rrr_outputF71089F.exe	3d5ec29f0374fce02c5816c24907cafe	27
名称： rrr_outputF71089F.exe MD5： 3d5ec29f0374fce02c5816c24907cafe 尺寸： 577.53 KB (577536 字节) 检测： 27 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputF71089F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
13.	rr_output5F98E0.exe	559973f8550ce68f7bae9c3e3aaa26aa	21
名称： rr_output5F98E0.exe MD5： 559973f8550ce68f7bae9c3e3aaa26aa 尺寸： 696.32 KB (696320 字节) 检测： 21 类型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 16, 2020
14.	rrr_outputF0DA6CF.exe	f653bc6e6dda82e487bfc4bc5197042b	21
名称： rrr_outputF0DA6CF.exe MD5： f653bc6e6dda82e487bfc4bc5197042b 尺寸： 577.53 KB (577536 字节) 检测： 21 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputF0DA6CF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
15.	rr_output12C4770.exe	45a9b21bd51f52db2b58ae7ae94cd668	18
名称： rr_output12C4770.exe MD5： 45a9b21bd51f52db2b58ae7ae94cd668 尺寸： 696.32 KB (696320 字节) 检测： 18 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rr_output12C4770.exe 团体：恶意软件文件最近更新时间： July 16, 2020
16.	rrr_output940674F.exe	b76fbb1b51118459d119d2be049d7aa5	18
名称： rrr_output940674F.exe MD5： b76fbb1b51118459d119d2be049d7aa5 尺寸： 540.67 KB (540672 字节) 检测： 18 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output940674F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
17.	rrr_output3A9CF40.exe	6fa328484123906a6cfbbf5c6d7f9587	10
名称： rrr_output3A9CF40.exe MD5： 6fa328484123906a6cfbbf5c6d7f9587 尺寸： 585.72 KB (585728 字节) 检测： 10 类型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 15, 2020
18.	rrr_outputD25868F.exe	b43db466c60b32a1b76fe3095851d026	8
名称： rrr_outputD25868F.exe MD5： b43db466c60b32a1b76fe3095851d026 尺寸： 536.57 KB (536576 字节) 检测： 8 类型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 15, 2020
19.	rrr_output43F40E0.exe	5c2753e929fa1abaefec2a092f1726a6	7
名称： rrr_output43F40E0.exe MD5： 5c2753e929fa1abaefec2a092f1726a6 尺寸： 569.34 KB (569344 字节) 检测： 7 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output43F40E0.exe 团体：恶意软件文件最近更新时间： July 15, 2020
20.	rrr_output43f40e0.exe	d1258b39c924746ed711af72e35e8262	5
名称： rrr_output43f40e0.exe MD5： d1258b39c924746ed711af72e35e8262 尺寸： 215.52 MB (215527425 字节) 检测： 5 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\appdata\roaming\microsoft\windows\start menu\programs\startup 团体：恶意软件文件最近更新时间： July 15, 2020
21.	ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe	26c23da3b8683eb3a727d54dcb8ce2f0	5
名称： ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe MD5： 26c23da3b8683eb3a727d54dcb8ce2f0 尺寸： 5.52 MB (5523968 字节) 检测： 5 类型： Executable File 小路： C:\Users\<username>\Desktop 团体：恶意软件文件最近更新时间： November 13, 2019
22.	rr_output516C100.exe	e8dedea6ce819f863da0c75c9d9bccde	4
名称： rr_output516C100.exe MD5： e8dedea6ce819f863da0c75c9d9bccde 尺寸： 729.08 KB (729088 字节) 检测： 4 类型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 16, 2020
23.	rrr_output8f0a14f.exe	52e6b8ee647e675969d36b69070d1047	4
名称： rrr_output8f0a14f.exe MD5： 52e6b8ee647e675969d36b69070d1047 尺寸： 655.81 KB (655815 字节) 检测： 4 类型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\appdata\roaming\microsoft\windows\start menu\programs\startup 团体：恶意软件文件最近更新时间： July 15, 2020

更多文件

注册表详情

Phobos勒索软件可能会创建以下注册表项或注册表项：

File name without path

svhost..exe

Regexp file mask

%APPDATA%\microsoft\windows\start menu\programs\startup\ph_exec.exe

%appdata%\microsoft\windows\start menu\programs\startup\r{1,5}_outputw{6,8}.exe

%LOCALAPPDATA%\ph_exec.exe

%localappdata%\r{1,5}_outputw{6,8}.exe

Enigma Software Group 在第九巡回赛上战胜恶意软件字节

搜索

更改区域

Phobos勒索软件

威胁评分卡