Phobos勒索軟件
威脅評分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威脅記分卡是我們的研究團隊收集和分析的不同惡意軟件威脅的評估報告。 EnigmaSoft 威脅記分卡使用多種指標對威脅進行評估和排名,包括現實世界和潛在的風險因素、趨勢、頻率、普遍性和持續性。 EnigmaSoft 威脅記分卡根據我們的研究數據和指標定期更新,對范圍廣泛的計算機用戶非常有用,從尋求解決方案以從其係統中刪除惡意軟件的最終用戶到分析威脅的安全專家。
EnigmaSoft 威脅記分卡顯示各種有用的信息,包括:
排名:特定威脅在 EnigmaSoft 的威脅數據庫中的排名。
嚴重級別:根據我們的風險建模過程和研究確定的對象嚴重級別,以數字表示,如我們的威脅評估標準中所述。
受感染的計算機:根據 SpyHunter 的報告,在受感染的計算機上檢測到的特定威脅的已確認和疑似案例的數量。
另請參閱威脅評估標準。
威胁级别: | 100 % (高的) |
受感染的计算机: | 1,621 |
初见: | July 24, 2009 |
最后一次露面: | July 16, 2020 |
受影响的操作系统: | Windows |
Phobos Ransomware是一種加密勒索軟件木馬,於2017年10月21日首次被發現。PhobosRansomware被用於針對西歐和美國的計算機用戶,並以英語向受害者發送其勒索信息。分發Phobos Ransomware的主要方式是通過使用垃圾郵件附件,這些附件可以顯示為啟用了宏的Microsoft Word文檔。這些宏腳本旨在在訪問損壞的文件後將Phobos Ransomware下載並安裝到受害者的計算機上。 Phobos勒索軟件很可能是獨立的威脅,因為它似乎不屬於勒索軟件即服務(RaaS)提供商的龐大家族。
目錄
如何識別Phobos Ransomware加密的文件
與大多數其他類似的威脅一樣,Phobos Ransomware通過使用強大的加密算法對受害者的文件進行加密來工作。加密使文件不可訪問,從而使Phobos Ransomware可以將受害者的數據劫為人質,直到受害者支付贖金為止。 Phobos Ransomware將針對用戶生成的文件,其中可能包括具有以下擴展名的文件:
.aif,.apk,.arj,.asp,.bat,.bin,.cab,.cda,.cer,.cfg,.cfm,.cpl,.css,.csv,.cur,.dat,.deb ,.dmg,.dmp,.doc,.docx,.drv,.gif,.htm,.html,.icns,.iso,.jar,.jpeg,.jpg,.jsp,.log,.mid 、. mp3,.mp4,.mpa,.odp,.ods,.odt,.ogg,.part,.pdf,.php,.pkg,.png,.ppt,.pptx,.psd,.rar,.rpm, .rss,.rtf,.sql,.svg,.tar.gz,.tex,.tif,.tiff,.toast,.txt,.vcd,.wav,.wks,.wma,.wpd,.wpl, .wps,.wsf,.xlr,.xls,.xlsx,.zip。
從上面的列表中可以看出,Phobos Ransomware的目標是文檔,媒體,圖像和其他常用文件,並使用AES 256加密對其進行加密。受害者的文件被加密後,Phobos Ransomware將與其命令和控制服務器進行通信,以中繼有關受感染計算機的數據,並接收配置數據。 Phobos Ransomware將通過將其名稱更改為以下字符串來識別通過其攻擊加密的文件:
..ID [八個隨機字符]。[ottozimmerman@protonmail.ch] .PHOBOS
Phobos勒索軟件的勒索要求
Phobos Ransomware以程序窗口的形式提供贖金字樣,標題為"您的文件已加密!"。在受害者的文件被加密並重命名之後。該程序窗口的一個拐角處帶有徽標" PHOBOS",並聲稱受害者必須支付贖金才能恢復受感染的文件。贖金記錄顯示,Phobos Ransomware在攻擊受害者計算機時顯示為:
'您的所有文件均已加密
你好,世界
這台PC上的數據遇到了無用的二進制代碼
要恢復正常,請通過以下電子郵件與我們聯繫:OttoZimmerman@protonmail.ch
將郵件主題設置為"加密ID:[8個隨機字符]"
有趣的事實:
1.隨著時間的推移,成本增加,不要浪費時間
2.當然,只有我們能為您提供幫助。
3.小心如果您仍然嘗試查找該問題的其他解決方案,請對要進行實驗的文件進行備份。和他們一起玩. 否則,它們可能會永久損壞。
4.任何為您提供幫助的服務或只是從您那裡取錢而消失的服務,否則它們將是我們之間的中介,並具有虛高的價值。由於解毒劑僅是病毒的創造者之一
PHOBOS'
處理Phobos勒索軟件
不幸的是,一旦Phobos Ransomware對文件進行了加密,就無法在沒有解密密鑰的情況下恢復受影響的文件。因此,採取先發製人的措施以確保數據受到良好保護非常重要。防範Phobos Ransomware等威脅的最佳方法是擁有可靠的備份系統。擁有所有文件的備份副本意味著Phobos Ransomware攻擊的受害者可以在攻擊後快速而可靠地恢復其數據。
2019年1月4日更新-'Job2019@tutanota.com'勒索軟件
'Job2019@tutanota.com'勒索軟件被歸類為最初於2017年10月發布的Phobos勒索軟件的稍有更新的變體。 " Job2019@tutanota.com"勒索軟件出現在一年多以後,沒有任何重大更新可顯示。 ``Job2019@tutanota.com''勒索軟件於2019年1月被發現,並且似乎以與其前身相同的方式傳播。威脅有效載荷是通過嵌入到Microsoft Word文件中的宏腳本提供的,您可能會看到這些宏腳本附加到社交媒體和在線商店看似官方的更新中。 " Job2019@tutanota.com"勒索軟件可能會在主系統驅動器上創建一個臨時文件夾,並在任務管理器中加載一個隨機名稱的進程。 " Job2019@tutanota.com"勒索軟件木馬配置為在對照片,文本,音樂和視頻進行編碼之前刪除卷影快照。已知該新變種通過兩個電子郵件帳戶(" Job2019@tutanota.com"和" Cadillac.407@aol.com")促進解密服務。贖金記錄的樣式設置為一個小的程序窗口,其顏色與默認的Windows 10主題相同,並且具有藍色。據報導,該木馬程序顯示一個名為"您的文件已加密!"的窗口。該窗口似乎是從" Phobos.hta"加載的,該文件被放到Windows的Temp文件夾中,內容為:
'您的所有文件均已加密
你好,世界
這台PC上的數據變成了無用的二進制代碼
要恢復正常,請通過以下電子郵件與我們聯繫:OttoZimmerman@protonmail.ch
將郵件的主題設置為"加密ID:[8位數字]
1.隨著時間的推移,成本增加,不要浪費時間
2.當然,只有我們能為您提供幫助。
3.要小心!如果您仍然嘗試查找該問題的其他解決方案,請製作要進行實驗的文件的備份副本,然後使用它們進行播放。否則,它們可能會永久損壞
4.任何為您提供幫助的服務或只是從您那裡取錢而消失的服務,否則它們將是我們之間的中介,並具有虛高的價值。由於解毒劑僅在病毒的創造者中
據說" Job2019@tutanota.com"勒索軟件的某些變體會生成一個簡單的對話框,而不是"您的文件已加密!"。屏幕顯示:
'您的所有文件均已加密
要解密文件,請使用以下電子郵件與我們聯繫:[電子郵件地址]請設置主題"加密ID:[8位數字]"。
我們提供對您的測試文件的免費解密作為證明。您可以將它們附加到您的電子郵件中,我們將向您發送解密後的電子郵件。
解密價格會隨著時間的流逝而增加,趕快獲得折扣.
使用第三方解密可能會導致欺詐或價格上漲。
受影響的數據可能會收到兩個擴展名之一-" .ID- [8位數字]。[Job2019@tutanota.com] .phobos"或" .ID- [8位數字]。[Job2019@tutanota.com] .phobos 。"例如," Sabaton-Carolus Rex.mp3"可以重命名為" Sabaton-Carolus Rex.mp3.ID-91651720。[Job2019@tutanota.com] .phobos"和" Sabaton-Carolus Rex.mp3.ID-68941751"。 [Job2019@tutanota.com] .phobos。我們建議您避免與勒索軟件參與者進行談判,因為您可能不會收到解密器。您應該使用數據備份來重建文件結構並運行完整的系統掃描,以刪除" Job2019@tutanota.com"勒索軟件可能留下的資源。
別名
5 个安全供应商将此文件标记为恶意文件。
防毒软件 | 检测 |
---|---|
CAT-QuickHeal | Win32.Trojan.Obfuscated.gx.3 |
AVG | Downloader.Obfuskated |
Prevx1 | Covert.Sys.Exec |
Microsoft | TrojanDownloader:Win32/Agent.ZZC |
AntiVir | TR/Crypt.XPACK.Gen |
Phobos勒索軟件 截图
文件系統詳情
# | 文件名 | MD5 |
偵測
檢測: SpyHunter 報告的在受感染計算機上檢測到的特定威脅的已確認和疑似案例數。
|
---|---|---|---|
1. | rrr_output7251B30.exe | b3b69dabf55cf7a7955960d0c0575c27 | 72 |
2. | rrr_output713F8B0.exe | 29d51846a76a1bfbac91df5af4f7570e | 64 |
3. | rrr_output8F2121F.exe | 5d533ba319fe6fd540d29cf8366775b1 | 63 |
4. | rrr_outputEE209BF.exe | 3677195abb0dc5e851e9c4bce433c1d2 | 59 |
5. | rrr_output89A8FEF.exe | 75d594f166d438ded4f4f1495a9b57b6 | 51 |
6. | rrr_output354CF0.exe | 360f782f4a688aba05f73b7a0d68ef43 | 51 |
7. | rrr_output7492970.exe | 376625a4a031656f0667723cd601f333 | 49 |
8. | yvihok.exe | 00db62e1b519159b0c20c00c2e97288b | 46 |
9. | rrr_outputE17E73F.exe | f9ef51967dcb4120df9919ac5423bc13 | 39 |
10. | rrr_outputDBB65DF.exe | cd16baef95d0f47387e7336ceab30e19 | 32 |
11. | rr_output89224BF.exe | fb9df7345520194538db6eef48fb0652 | 31 |
12. | rrr_outputF71089F.exe | 3d5ec29f0374fce02c5816c24907cafe | 27 |
13. | rr_output5F98E0.exe | 559973f8550ce68f7bae9c3e3aaa26aa | 21 |
14. | rrr_outputF0DA6CF.exe | f653bc6e6dda82e487bfc4bc5197042b | 21 |
15. | rr_output12C4770.exe | 45a9b21bd51f52db2b58ae7ae94cd668 | 18 |
16. | rrr_output940674F.exe | b76fbb1b51118459d119d2be049d7aa5 | 18 |
17. | rrr_output3A9CF40.exe | 6fa328484123906a6cfbbf5c6d7f9587 | 10 |
18. | rrr_outputD25868F.exe | b43db466c60b32a1b76fe3095851d026 | 8 |
19. | rrr_output43F40E0.exe | 5c2753e929fa1abaefec2a092f1726a6 | 7 |
20. | rrr_output43f40e0.exe | d1258b39c924746ed711af72e35e8262 | 5 |
21. | ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe | 26c23da3b8683eb3a727d54dcb8ce2f0 | 5 |
22. | rr_output516C100.exe | e8dedea6ce819f863da0c75c9d9bccde | 4 |
23. | rrr_output8f0a14f.exe | 52e6b8ee647e675969d36b69070d1047 | 4 |