Phobos勒索病毒是一款新型的勒索病毒,2019年5月份左右被首次发现,这款勒索病毒与CrySiS(Dharma)勒索病毒非常相似,然而它并不是CrySiS(Dharma)勒索病毒,是一款新型的勒索病毒,笔者最近发现一款该勒索病毒的变种样本,该勒索病毒勒索提示信息界面,如下所示:
黑客的电子邮箱地址:
maycat@protonmail.com
siskow@cock.li
help_decrypt@xmpp.jp
勒索提示信息文本文件info.txt,内容如下所示:
加密后的文件后缀名为Acuna,如下所示:
Phobos勒索病毒和CrySiS(Dharma)勒索病毒有很多相似之处,之前COVEWARE安全公司曾发布过一个报告,链接:
https://www.coveware.com/blog/phobos-ransomware-distributed-dharma-crew
报告中指出Phobos和CrySiS(Dharma)勒索病毒使用了相似的勒索提示信息,加密后的文件名格式也非常相似,而且通过分析发现分发Phobos的组织、漏洞利用手法(RDP)等也都基本相似
Phobos勒索病毒在2019年非常流行,由于它与CrySiS(Dharma)勒索病毒过度相似,两个家族加密后的特征基本一致,所以很容易搞混淆,最好的方法就是拿到病毒样本,然后通过逆向分析样本,才能确实是哪个家族的,单纯的通过勒索提示信息,现在很难确认是哪个家族的样本
最近几年勒索病毒爆发,尤其是针对企业的勒索病毒攻击越来越多,关于勒索病毒的防护,给大家分享几个简单的方法,通过这些方法可以有效的防御部分勒索病毒:
1、及时给电脑打补丁,修复漏洞
2、谨慎打开来历不明的邮件,点击其中链接或*载下**附件,防止网络挂马和邮件附件攻击
3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染
4、需要的软件从正规(官网)途径*载下**,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件
5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击
6、开启Windows Update自动更新设置,定期对系统进行升级
7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件
8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密*会码**导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机
9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP*破爆**攻击
预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织或者成熟的黑客组织加入进来,通过勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招