Phobos勒索軟件

Ransomware 年GoldSparrow年

翻譯為：

威脅評分卡

威胁级别：	100 % (高的)
受感染的计算机：	1,621

初见：	July 24, 2009
最后一次露面：	July 16, 2020
受影响的操作系统：	Windows

Phobos Ransomware是一種加密勒索軟件木馬，於2017年10月21日首次被發現。PhobosRansomware被用於針對西歐和美國的計算機用戶，並以英語向受害者發送其勒索信息。分發Phobos Ransomware的主要方式是通過使用垃圾郵件附件，這些附件可以顯示為啟用了宏的Microsoft Word文檔。這些宏腳本旨在在訪問損壞的文件後將Phobos Ransomware下載並安裝到受害者的計算機上。 Phobos勒索軟件很可能是獨立的威脅，因為它似乎不屬於勒索軟件即服務（RaaS）提供商的龐大家族。

如何識別Phobos Ransomware加密的文件

與大多數其他類似的威脅一樣，Phobos Ransomware通過使用強大的加密算法對受害者的文件進行加密來工作。加密使文件不可訪問，從而使Phobos Ransomware可以將受害者的數據劫為人質，直到受害者支付贖金為止。 Phobos Ransomware將針對用戶生成的文件，其中可能包括具有以下擴展名的文件：

.aif，.apk，.arj，.asp，.bat，.bin，.cab，.cda，.cer，.cfg，.cfm，.cpl，.css，.csv，.cur，.dat，.deb ，.dmg，.dmp，.doc，.docx，.drv，.gif，.htm，.html，.icns，.iso，.jar，.jpeg，.jpg，.jsp，.log，.mid 、. mp3，.mp4，.mpa，.odp，.ods，.odt，.ogg，.part，.pdf，.php，.pkg，.png，.ppt，.pptx，.psd，.rar，.rpm， .rss，.rtf，.sql，.svg，.tar.gz，.tex，.tif，.tiff，.toast，.txt，.vcd，.wav，.wks，.wma，.wpd，.wpl， .wps，.wsf，.xlr，.xls，.xlsx，.zip。

從上面的列表中可以看出，Phobos Ransomware的目標是文檔，媒體，圖像和其他常用文件，並使用AES 256加密對其進行加密。受害者的文件被加密後，Phobos Ransomware將與其命令和控制服務器進行通信，以中繼有關受感染計算機的數據，並接收配置數據。 Phobos Ransomware將通過將其名稱更改為以下字符串來識別通過其攻擊加密的文件：

..ID [八個隨機字符]。[ottozimmerman@protonmail.ch] .PHOBOS

Phobos勒索軟件的勒索要求

Phobos Ransomware以程序窗口的形式提供贖金字樣，標題為"您的文件已加密！"。在受害者的文件被加密並重命名之後。該程序窗口的一個拐角處帶有徽標" PHOBOS"，並聲稱受害者必須支付贖金才能恢復受感染的文件。贖金記錄顯示，Phobos Ransomware在攻擊受害者計算機時顯示為：

'您的所有文件均已加密
你好，世界
這台PC上的數據遇到了無用的二進制代碼
要恢復正常，請通過以下電子郵件與我們聯繫：OttoZimmerman@protonmail.ch
將郵件主題設置為"加密ID：[8個隨機字符]"
有趣的事實：
1.隨著時間的推移，成本增加，不要浪費時間
2.當然，只有我們能為您提供幫助。
3.小心如果您仍然嘗試查找該問題的其他解決方案，請對要進行實驗的文件進行備份。和他們一起玩. 否則，它們可能會永久損壞。
4.任何為您提供幫助的服務或只是從您那裡取錢而消失的服務，否則它們將是我們之間的中介，並具有虛高的價值。由於解毒劑僅是病毒的創造者之一
PHOBOS'

處理Phobos勒索軟件

不幸的是，一旦Phobos Ransomware對文件進行了加密，就無法在沒有解密密鑰的情況下恢復受影響的文件。因此，採取先發製人的措施以確保數據受到良好保護非常重要。防範Phobos Ransomware等威脅的最佳方法是擁有可靠的備份系統。擁有所有文件的備份副本意味著Phobos Ransomware攻擊的受害者可以在攻擊後快速而可靠地恢復其數據。

2019年1月4日更新-'Job2019@tutanota.com'勒索軟件

'Job2019@tutanota.com'勒索軟件被歸類為最初於2017年10月發布的Phobos勒索軟件的稍有更新的變體。 " Job2019@tutanota.com"勒索軟件出現在一年多以後，沒有任何重大更新可顯示。 ``Job2019@tutanota.com''勒索軟件於2019年1月被發現，並且似乎以與其前身相同的方式傳播。威脅有效載荷是通過嵌入到Microsoft Word文件中的宏腳本提供的，您可能會看到這些宏腳本附加到社交媒體和在線商店看似官方的更新中。 " Job2019@tutanota.com"勒索軟件可能會在主系統驅動器上創建一個臨時文件夾，並在任務管理器中加載一個隨機名稱的進程。 " Job2019@tutanota.com"勒索軟件木馬配置為在對照片，文本，音樂和視頻進行編碼之前刪除卷影快照。已知該新變種通過兩個電子郵件帳戶（" Job2019@tutanota.com"和" Cadillac.407@aol.com"）促進解密服務。贖金記錄的樣式設置為一個小的程序窗口，其顏色與默認的Windows 10主題相同，並且具有藍色。據報導，該木馬程序顯示一個名為"您的文件已加密！"的窗口。該窗口似乎是從" Phobos.hta"加載的，該文件被放到Windows的Temp文件夾中，內容為：

'您的所有文件均已加密
你好，世界
這台PC上的數據變成了無用的二進制代碼
要恢復正常，請通過以下電子郵件與我們聯繫：OttoZimmerman@protonmail.ch
將郵件的主題設置為"加密ID：[8位數字]
1.隨著時間的推移，成本增加，不要浪費時間
2.當然，只有我們能為您提供幫助。
3.要小心！如果您仍然嘗試查找該問題的其他解決方案，請製作要進行實驗的文件的備份副本，然後使用它們進行播放。否則，它們可能會永久損壞
4.任何為您提供幫助的服務或只是從您那裡取錢而消失的服務，否則它們將是我們之間的中介，並具有虛高的價值。由於解毒劑僅在病毒的創造者中

據說" Job2019@tutanota.com"勒索軟件的某些變體會生成一個簡單的對話框，而不是"您的文件已加密！"。屏幕顯示：

'您的所有文件均已加密
要解密文件，請使用以下電子郵件與我們聯繫：[電子郵件地址]請設置主題"加密ID：[8位數字]"。
我們提供對您的測試文件的免費解密作為證明。您可以將它們附加到您的電子郵件中，我們將向您發送解密後的電子郵件。
解密價格會隨著時間的流逝而增加，趕快獲得折扣.
使用第三方解密可能會導致欺詐或價格上漲。

受影響的數據可能會收到兩個擴展名之一-" .ID- [8位數字]。[Job2019@tutanota.com] .phobos"或" .ID- [8位數字]。[Job2019@tutanota.com] .phobos 。"例如，" Sabaton-Carolus Rex.mp3"可以重命名為" Sabaton-Carolus Rex.mp3.ID-91651720。[Job2019@tutanota.com] .phobos"和" Sabaton-Carolus Rex.mp3.ID-68941751"。 [Job2019@tutanota.com] .phobos。我們建議您避免與勒索軟件參與者進行談判，因為您可能不會收到解密器。您應該使用數據備份來重建文件結構並運行完整的系統掃描，以刪除" Job2019@tutanota.com"勒索軟件可能留下的資源。

別名

5 个安全供应商将此文件标记为恶意文件。

防毒软件	检测
CAT-QuickHeal	Win32.Trojan.Obfuscated.gx.3
AVG	Downloader.Obfuskated
Prevx1	Covert.Sys.Exec
Microsoft	TrojanDownloader:Win32/Agent.ZZC
AntiVir	TR/Crypt.XPACK.Gen

Phobos勒索軟件截图

文件系統詳情

Phobos勒索軟件可能會創建以下文件：

展开全部 | 全部收缩

#	文件名	MD5	偵測檢測： SpyHunter 報告的在受感染計算機上檢測到的特定威脅的已確認和疑似案例數。
1.	rrr_output7251B30.exe	b3b69dabf55cf7a7955960d0c0575c27	72
名称： rrr_output7251B30.exe MD5： b3b69dabf55cf7a7955960d0c0575c27 尺寸： 700.41 KB (700416 字节) 檢測： 72 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output7251B30.exe 团体：恶意软件文件最近更新时间： July 15, 2020
2.	rrr_output713F8B0.exe	29d51846a76a1bfbac91df5af4f7570e	64
名称： rrr_output713F8B0.exe MD5： 29d51846a76a1bfbac91df5af4f7570e 尺寸： 565.24 KB (565248 字节) 檢測： 64 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output713F8B0.exe 团体：恶意软件文件最近更新时间： July 15, 2020
3.	rrr_output8F2121F.exe	5d533ba319fe6fd540d29cf8366775b1	63
名称： rrr_output8F2121F.exe MD5： 5d533ba319fe6fd540d29cf8366775b1 尺寸： 638.97 KB (638976 字节) 檢測： 63 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output8F2121F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
4.	rrr_outputEE209BF.exe	3677195abb0dc5e851e9c4bce433c1d2	59
名称： rrr_outputEE209BF.exe MD5： 3677195abb0dc5e851e9c4bce433c1d2 尺寸： 532.48 KB (532480 字节) 檢測： 59 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputEE209BF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
5.	rrr_output89A8FEF.exe	75d594f166d438ded4f4f1495a9b57b6	51
名称： rrr_output89A8FEF.exe MD5： 75d594f166d438ded4f4f1495a9b57b6 尺寸： 548.86 KB (548864 字节) 檢測： 51 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output89A8FEF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
6.	rrr_output354CF0.exe	360f782f4a688aba05f73b7a0d68ef43	51
名称： rrr_output354CF0.exe MD5： 360f782f4a688aba05f73b7a0d68ef43 尺寸： 581.63 KB (581632 字节) 檢測： 51 類型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 16, 2020
7.	rrr_output7492970.exe	376625a4a031656f0667723cd601f333	49
名称： rrr_output7492970.exe MD5： 376625a4a031656f0667723cd601f333 尺寸： 684.03 KB (684032 字节) 檢測： 49 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rrr_output7492970.exe 团体：恶意软件文件最近更新时间： July 16, 2020
8.	yvihok.exe	00db62e1b519159b0c20c00c2e97288b	46
名称： yvihok.exe MD5： 00db62e1b519159b0c20c00c2e97288b 尺寸： 258.56 KB (258560 字节) 檢測： 46 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\yvihok.exe 团体：恶意软件文件最近更新时间： July 27, 2020
9.	rrr_outputE17E73F.exe	f9ef51967dcb4120df9919ac5423bc13	39
名称： rrr_outputE17E73F.exe MD5： f9ef51967dcb4120df9919ac5423bc13 尺寸： 548.86 KB (548864 字节) 檢測： 39 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputE17E73F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
10.	rrr_outputDBB65DF.exe	cd16baef95d0f47387e7336ceab30e19	32
名称： rrr_outputDBB65DF.exe MD5： cd16baef95d0f47387e7336ceab30e19 尺寸： 598.01 KB (598016 字节) 檢測： 32 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputDBB65DF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
11.	rr_output89224BF.exe	fb9df7345520194538db6eef48fb0652	31
名称： rr_output89224BF.exe MD5： fb9df7345520194538db6eef48fb0652 尺寸： 606.2 KB (606208 字节) 檢測： 31 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rr_output89224BF.exe 团体：恶意软件文件最近更新时间： July 16, 2020
12.	rrr_outputF71089F.exe	3d5ec29f0374fce02c5816c24907cafe	27
名称： rrr_outputF71089F.exe MD5： 3d5ec29f0374fce02c5816c24907cafe 尺寸： 577.53 KB (577536 字节) 檢測： 27 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputF71089F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
13.	rr_output5F98E0.exe	559973f8550ce68f7bae9c3e3aaa26aa	21
名称： rr_output5F98E0.exe MD5： 559973f8550ce68f7bae9c3e3aaa26aa 尺寸： 696.32 KB (696320 字节) 檢測： 21 類型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 16, 2020
14.	rrr_outputF0DA6CF.exe	f653bc6e6dda82e487bfc4bc5197042b	21
名称： rrr_outputF0DA6CF.exe MD5： f653bc6e6dda82e487bfc4bc5197042b 尺寸： 577.53 KB (577536 字节) 檢測： 21 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_outputF0DA6CF.exe 团体：恶意软件文件最近更新时间： July 15, 2020
15.	rr_output12C4770.exe	45a9b21bd51f52db2b58ae7ae94cd668	18
名称： rr_output12C4770.exe MD5： 45a9b21bd51f52db2b58ae7ae94cd668 尺寸： 696.32 KB (696320 字节) 檢測： 18 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rr_output12C4770.exe 团体：恶意软件文件最近更新时间： July 16, 2020
16.	rrr_output940674F.exe	b76fbb1b51118459d119d2be049d7aa5	18
名称： rrr_output940674F.exe MD5： b76fbb1b51118459d119d2be049d7aa5 尺寸： 540.67 KB (540672 字节) 檢測： 18 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output940674F.exe 团体：恶意软件文件最近更新时间： July 15, 2020
17.	rrr_output3A9CF40.exe	6fa328484123906a6cfbbf5c6d7f9587	10
名称： rrr_output3A9CF40.exe MD5： 6fa328484123906a6cfbbf5c6d7f9587 尺寸： 585.72 KB (585728 字节) 檢測： 10 類型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 15, 2020
18.	rrr_outputD25868F.exe	b43db466c60b32a1b76fe3095851d026	8
名称： rrr_outputD25868F.exe MD5： b43db466c60b32a1b76fe3095851d026 尺寸： 536.57 KB (536576 字节) 檢測： 8 類型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 15, 2020
19.	rrr_output43F40E0.exe	5c2753e929fa1abaefec2a092f1726a6	7
名称： rrr_output43F40E0.exe MD5： 5c2753e929fa1abaefec2a092f1726a6 尺寸： 569.34 KB (569344 字节) 檢測： 7 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\AppData\Local\rrr_output43F40E0.exe 团体：恶意软件文件最近更新时间： July 15, 2020
20.	rrr_output43f40e0.exe	d1258b39c924746ed711af72e35e8262	5
名称： rrr_output43f40e0.exe MD5： d1258b39c924746ed711af72e35e8262 尺寸： 215.52 MB (215527425 字节) 檢測： 5 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\appdata\roaming\microsoft\windows\start menu\programs\startup 团体：恶意软件文件最近更新时间： July 15, 2020
21.	ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe	26c23da3b8683eb3a727d54dcb8ce2f0	5
名称： ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe MD5： 26c23da3b8683eb3a727d54dcb8ce2f0 尺寸： 5.52 MB (5523968 字节) 檢測： 5 類型： Executable File 小路： C:\Users\<username>\Desktop 团体：恶意软件文件最近更新时间： November 13, 2019
22.	rr_output516C100.exe	e8dedea6ce819f863da0c75c9d9bccde	4
名称： rr_output516C100.exe MD5： e8dedea6ce819f863da0c75c9d9bccde 尺寸： 729.08 KB (729088 字节) 檢測： 4 類型： Executable File 小路： C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 团体：恶意软件文件最近更新时间： July 16, 2020
23.	rrr_output8f0a14f.exe	52e6b8ee647e675969d36b69070d1047	4
名称： rrr_output8f0a14f.exe MD5： 52e6b8ee647e675969d36b69070d1047 尺寸： 655.81 KB (655815 字节) 檢測： 4 類型： Executable File 小路： %SYSTEMDRIVE%\Users\<username>\appdata\roaming\microsoft\windows\start menu\programs\startup 团体：恶意软件文件最近更新时间： July 15, 2020

更多文件

註冊表詳情

Phobos勒索軟件可能會創建以下註冊表項或註冊表項：

File name without path

svhost..exe

Regexp file mask

%APPDATA%\microsoft\windows\start menu\programs\startup\ph_exec.exe

%appdata%\microsoft\windows\start menu\programs\startup\r{1,5}_outputw{6,8}.exe

%LOCALAPPDATA%\ph_exec.exe

%localappdata%\r{1,5}_outputw{6,8}.exe

Enigma Software Group 在第九巡迴賽上戰勝惡意軟件字節

搜索

更改區域

Phobos勒索軟件

威脅評分卡