Phobos勒索軟件

Phobos勒索軟件 介紹

Phobos Ransomware屏幕截圖 Phobos Ransomware是一種加密勒索軟件木馬,於2017年10月21日首次被發現。PhobosRansomware被用於針對西歐和美國的計算機用戶,並以英語向受害者發送其勒索信息。分發Phobos Ransomware的主要方式是通過使用垃圾郵件附件,這些附件可以顯示為啟用了宏的Microsoft Word文檔。這些宏腳本旨在在訪問損壞的文件後將Phobos Ransomware下載並安裝到受害者的計算機上。 Phobos勒索軟件很可能是獨立的威脅,因為它似乎不屬於勒索軟件即服務(RaaS)提供商的龐大家族。

如何識別Phobos Ransomware加密的文件

與大多數其他類似的威脅一樣,Phobos Ransomware通過使用強大的加密算法對受害者的文件進行加密來工作。加密使文件不可訪問,從而使Phobos Ransomware可以將受害者的數據劫為人質,直到受害者支付贖金為止。 Phobos Ransomware將針對用戶生成的文件,其中可能包括具有以下擴展名的文件:

.aif,.apk,.arj,.asp,.bat,.bin,.cab,.cda,.cer,.cfg,.cfm,.cpl,.css,.csv,.cur,.dat,.deb ,.dmg,.dmp,.doc,.docx,.drv,.gif,.htm,.html,.icns,.iso,.jar,.jpeg,.jpg,.jsp,.log,.mid 、. mp3,.mp4,.mpa,.odp,.ods,.odt,.ogg,.part,.pdf,.php,.pkg,.png,.ppt,.pptx,.psd,.rar,.rpm, .rss,.rtf,.sql,.svg,.tar.gz,.tex,.tif,.tiff,.toast,.txt,.vcd,.wav,.wks,.wma,.wpd,.wpl, .wps,.wsf,.xlr,.xls,.xlsx,.zip。

從上面的列表中可以看出,Phobos Ransomware的目標是文檔,媒體,圖像和其他常用文件,並使用AES 256加密對其進行加密。受害者的文件被加密後,Phobos Ransomware將與其命令和控制服務器進行通信,以中繼有關受感染計算機的數據,並接收配置數據。 Phobos Ransomware將通過將其名稱更改為以下字符串來識別通過其攻擊加密的文件:

..ID [八個隨機字符]。[ottozimmerman@protonmail.ch] .PHOBOS

Phobos勒索軟件的勒索要求

Phobos Ransomware以程序窗口的形式提供贖金字樣,標題為“您的文件已加密!”。在受害者的文件被加密並重命名之後。該程序窗口的一個拐角處帶有徽標“ PHOBOS”,並聲稱受害者必須支付贖金才能恢復受感染的文件。贖金記錄顯示,Phobos Ransomware在攻擊受害者計算機時顯示為:

'您的所有文件均已加密
你好,世界
這台PC上的數據遇到了無用的二進制代碼
要恢復正常,請通過以下電子郵件與我們聯繫:OttoZimmerman@protonmail.ch
將郵件主題設置為“加密ID:[8個隨機字符]”
有趣的事實:
1.隨著時間的推移,成本增加,不要浪費時間
2.當然,只有我們能為您提供幫助。
3.小心如果您仍然嘗試查找該問題的其他解決方案,請對要進行實驗的文件進行備份。和他們一起玩
. 否則,它們可能會永久損壞。
4.任何為您提供幫助的服務或只是從您那裡取錢而消失的服務,否則它們將是我們之間的中介,並具有虛高的價值。由於解毒劑僅是病毒的創造者之一
PHOBOS'

處理Phobos勒索軟件

不幸的是,一旦Phobos Ransomware對文件進行了加密,就無法在沒有解密密鑰的情況下恢復受影響的文件。因此,採取先發製人的措施以確保數據受到良好保護非常重要。防範Phobos Ransomware等威脅的最佳方法是擁有可靠的備份系統。擁有所有文件的備份副本意味著Phobos Ransomware攻擊的受害者可以在攻擊後快速而可靠地恢復其數據。

2019年1月4日更新-'Job2019@tutanota.com'勒索軟件

'Job2019@tutanota.com'勒索軟件被歸類為最初於2017年10月發布的Phobos勒索軟件的稍有更新的變體。 “ Job2019@tutanota.com”勒索軟件出現在一年多以後,沒有任何重大更新可顯示。 ``Job2019@tutanota.com''勒索軟件於2019年1月被發現,並且似乎以與其前身相同的方式傳播。威脅有效載荷是通過嵌入到Microsoft Word文件中的宏腳本提供的,您可能會看到這些宏腳本附加到社交媒體和在線商店看似官方的更新中。 “ Job2019@tutanota.com”勒索軟件可能會在主系統驅動器上創建一個臨時文件夾,並在任務管理器中加載一個隨機名稱的進程。 “ Job2019@tutanota.com”勒索軟件木馬配置為在對照片,文本,音樂和視頻進行編碼之前刪除卷影快照。已知該新變種通過兩個電子郵件帳戶(“ Job2019@tutanota.com”和“ Cadillac.407@aol.com”)促進解密服務。贖金記錄的樣式設置為一個小的程序窗口,其顏色與默認的Windows 10主題相同,並且具有藍色。據報導,該木馬程序顯示一個名為“您的文件已加密!”的窗口。該窗口似乎是從“ Phobos.hta”加載的,該文件被放到Windows的Temp文件夾中,內容為:

'您的所有文件均已加密
你好,世界
這台PC上的數據變成了無用的二進制代碼
要恢復正常,請通過以下電子郵件與我們聯繫:OttoZimmerman@protonmail.ch
將郵件的主題設置為“加密ID:[8位數字]
1.隨著時間的推移,成本增加,不要浪費時間
2.當然,只有我們能為您提供幫助。
3.要小心!如果您仍然嘗試查找該問題的其他解決方案,請製作要進行實驗的文件的備份副本,然後使用它們進行播放。否則,它們可能會永久損壞
4.任何為您提供幫助的服務或只是從您那裡取錢而消失的服務,否則它們將是我們之間的中介,並具有虛高的價值。由於解毒劑僅在病毒的創造者中

據說“ Job2019@tutanota.com”勒索軟件的某些變體會生成一個簡單的對話框,而不是“您的文件已加密!”。屏幕顯示:

'您的所有文件均已加密
要解密文件,請使用以下電子郵件與我們聯繫:[電子郵件地址]請設置主題“加密ID:[8位數字]”。
我們提供對您的測試文件的免費解密作為證明。您可以將它們附加到您的電子郵件中,我們將向您發送解密後的電子郵件。
解密價格會隨著時間的流逝而增加,趕快獲得折扣
.
使用第三方解密可能會導致欺詐或價格上漲。

受影響的數據可能會收到兩個擴展名之一-“ .ID- [8位數字]。[Job2019@tutanota.com] .phobos”或“ .ID- [8位數字]。[Job2019@tutanota.com] .phobos 。”例如,“ Sabaton-Carolus Rex.mp3”可以重命名為“ Sabaton-Carolus Rex.mp3.ID-91651720。[Job2019@tutanota.com] .phobos”和“ Sabaton-Carolus Rex.mp3.ID-68941751”。 [Job2019@tutanota.com] .phobos。我們建議您避免與勒索軟件參與者進行談判,因為您可能不會收到解密器。您應該使用數據備份來重建文件結構並運行完整的系統掃描,以刪除“ Job2019@tutanota.com”勒索軟件可能留下的資源。

您是否擔心您的計算被Phobos勒索軟件 &或其他威脅感染? 用SpyHunter掃描您的電腦

SpyHunter是一款功能強大的惡意軟件修復和保護工具,幫助用戶進行深入的計算機系統安全分析,檢測和清理如Phobos勒索軟件的各種威脅,並提供一對一的技術支持服務。 下載SpyHunter的免費惡意軟件清除器
請註意:SpyHunter的掃描儀用於惡意軟件檢測。如果SpyHunter在您的PC上檢測到惡意軟件,則需要購買SpyHunter的惡意軟件清除工具以清除惡意軟件威脅。查看更多關於SpyHunter的信息。免費的清除器可以使您可以進行壹次性掃描,並在48小時等待時間內接受壹次修復和清除。免費的清除器,需遵循促銷詳細信息和特殊促銷條款。要了解我們的政策,還請查看我們的最終用戶許可協議隱私政策威脅評估標準。如果您不再希望在計算機上安裝SpyHunter,請參考這些步驟卸載SpyHunter

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。