Phobos勒索软件变种分析报告
1.概述
2.Phobos勒索软件概览
表 2-1 Phobos勒索软件新变种概览
传播方式 | RDP(远程桌面控制协议)暴力破解,钓鱼邮件 |
加密文件命名方式 | <原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.deal> |
联系方式 | butters.felicio@aol.com |
加密文件类型 | 所有文件格式 |
勒索币种与金额 | 比特币(实际金额通过邮箱与攻击者沟通后得知) |
是否有针对性 | 不具备针对性 |
能否解密 | 暂时不能解密 |
是否内网传播 | 否 |
勒索信界面 |
2.1Phobos勒索软件家族演进史
图2-1 Phobos勒索软件家族变种演进史
3.Phobos勒索软件新变种样本分析
3.1Phobos勒索软件新变种样本标签
表 3-1 Phobos勒索软件新变种样本信息
病毒名称 | Trojan/Win32.Wacatac |
原始文件名 | AntiRecuvaAndDB.exe |
MD5 | 4cbcf650c75c6cd0cc16ed24c3b24de6 |
文件大小 | 50.5 KB (51,712 字节) |
时间戳 | 2019-06-19 08:00:06 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ |
VT首次上传时间 | 2019-10-07 14:43:13 |
VT检测结果 | 57/70 |
3.2被加密文件格式
图3-1 被加密文件
3.3Phobos勒索软件勒索信
该勒索软件变种加密后生成两种类型的勒索信,一种后缀名为.txt格式,另一种后缀名为.hta格式。此新变种勒索信内容与以往的Phobos勒索软件勒索信内容有所不同,Phobos勒索软件家族其它变种的勒索信中会告知受害者如何购买比特币支付赎金,但此变种的勒索信中并未体现,只表达了受害者的文件已被加密,并告知联系邮箱地址等信息。
图3-2 txt格式勒索信内容对比
图3-3 hta格式勒索信内容对比
3.4Phobos勒索软件新变种行为分析
●关闭系统防火墙
图3-4 关闭并禁用防火墙
●添加注册表实现开机自启动
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\System\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
图3-5 将自身复制到%Startup%启动文件夹中
图3-6 将自身复制到%AppData%启动文件夹中
●将家族变种版本信息追加到加密文件中
图3-7 文件末尾追加数据
4.防护建议与IEP防护视频演示链接
安天提醒广大用户,及时备份重要文件,且文件备份应与主机隔离;及时安装更新补丁,避免一切勒索软件利用漏洞感染计算机;对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;尽量避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问;避免使用弱口令或统一的口令;确保所有的计算机在使用远程桌面服务时采取VPN连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭;可以使用反病毒软件(如安天智甲)扫描邮件附件,确认安全后再运行。
目前,安天智甲终端防御系统可实现对Phobos勒索软件家族变种的查杀与有效防护。
图4-1 安天智甲拦截防护界面
Phobos勒索软件变种-无IEP防护视频演示链接:https://v.qq.com/x/page/f3009m1k7r3.html
Phobos勒索软件变种-IEP防护视频演示链接:https://v.qq.com/x/page/b3009ta9lj4.html
往期推荐