什么是Phobos勒索病毒?
Phobos勒索病毒于2019年初出现。已经注意到,这种新型勒索病毒强烈基于先前已知的家族:Dharma(又名CrySis),并且可能与Dharma属于同一组。
虽然归因绝不是决定性的,但您可以在此处阅读有关Phobos和Dharma之间潜在链接的更多信息,以包括与XDedic市场的有趣联系。
Phobos是通过被黑客入侵的远程桌面(RDP)连接分发的勒索病毒之一。这并不奇怪,因为被黑客入侵的RDP服务器在地下市场上是一种便宜的商品,并且可以为威胁群体提供有吸引力且具有成本效益的传播媒介。
在这篇文章中,我们将研究Phobos勒索病毒中使用的机制的实现,以及它与Dharma的内部相似之处。
如何识别Phobos勒索病毒加密的文件?
与大多数其他类似的威胁一样,Phobos勒索病毒的工作原理是使用强大的加密算法对受害者的文件进行加密。加密使文件不可访问,从而使Phobos勒索病毒可以将受害者的数据劫为人质,直到受害者支付赎金为止。 Phobos勒索病毒将针对用户生成的文件,其中可能包括具有以下扩展名的文件:
.aif*,.apk,.arj,.asp,.bat,.bin,.cab,.cda,.cer,.cfg,.cfm,.cpl,.css,.csv,.cur,.dat,.deb* *,.dmg**,.dmp,.doc,.docx,.drv,.gif,.htm,.html,.icns,.iso,.jar,.jpeg,.jpg,.jsp,.log,.mid* *、. mp3**,.mp4,.mpa,.odp,.ods,.odt,.ogg,.part,.pdf,.php,.pkg,.png,.ppt,.pptx,.psd,.rar,.rpm,* .rss*,.rtf,.sql,.svg,.tar.gz,.tex,.tif,.tiff,.toast,.txt,.vcd,.wav,.wks,.wma,.wpd,.wpl,* .wps*,.wsf,.xlr,.xls,.xlsx,.zip。*
从上面的列表中可以看出,Phobos勒索病毒的目标是文档,媒体,图像和其他常用文件,并使用AES 256加密对其进行加密。受害者的文件被加密后,Phobos勒索病毒将与其命令和控制服务器进行通信,以中继有关受感染计算机的数据,并接收配置数据。 Phobos勒索病毒将通过将其名称更改为以下字符串来识别通过其攻击加密的文件:
…ID [八个随机字符]。[[email protected]] .PHOBOS
Phobos****勒索病毒病毒特征:
{原文件名}.ID-<8字符>…后缀Phobos:
Encrypted.txt ; DATA.hta
勒索邮箱:
[[email protected]].phobos
[[email protected]].phobos 等
结论
Phobos是一种普通的勒索病毒,绝没有任何新颖之处。从它的内部来看,我们可以得出结论,尽管它并不是完全的盗版法学,但两者之间有很大的相似之处,这表明作者是同一个人。重叠是在概念上,以及在使用的相同RSA实现中。
与其他威胁一样,确保您的资产安全以防止此类威胁也很重要。在这种特殊情况下,企业应该检查所有启用了远程桌面Procol(RDP)访问的计算机,并在不需要时禁用它,或者确保凭据很强以防止这种暴力行为。
中了.avdn文件后缀的Avaddon勒索病毒文件怎么恢复?
此类勒索病毒属于:Avaddon家族 ,目前暂时不支持解密
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具
2.如果文件急需,可以扫文章二维码添加我的服务号,发送文件样本给我进行免费咨询数据恢复方案,或者寻求其它第三方解密服务,如果采取付费解密服务注意以下事项:
(1)不建议直接向黑客付款。直接向黑客付款存在很大风险,第一是可能拿到的解密工具并不能使用 ,第二密钥不对,第三再次或多次向你索要赎金。
(2)通过寻找第三方解密服务商,开始工作前一定要签订合同,要明确解密不成功是否需要付款等问题,必要时可要求上门服务。
(3)不要咨询太多第三方商家。因为第三方大多都是去找黑客购买密钥。过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询,可能导致黑客认为你的数据特别重要,而提高赎金。
(4)不要过度描述自己文件的重要性,可能会造成解密商或黑客提高佣金或赎金要求。
预防勒索病毒-日常防护建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括:
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。