黑客利用Phobos勒索病毒二次加密!勒索钱财

背景概述近日,深信服安全团队接到多家企业反馈,服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功…

背静阐述 近期,令人信服的安全团队图片接到了很多企业的意见反馈,网络服务器阻挠勒索软件进攻,主要统计数据被加锁。据安全团队图片权威专家称,该病毒感染是那种相对性较新的勒索病毒。它通常备受RDP暴力犯罪进攻+半自动传送的进攻。攻击者成功失败侵入后,通常会关闭系统的安全软件保护功用并运作勒索软件病毒感染。加锁后,文件后缀将是[初始文件夹名称] + Id [任意字符串] + [电子邮件地址] .phobos。有关的电子邮件地址为tylecotebenji @ aol.Com,tedmundboardus @ aol.Com,helpyourdata @ 手机QQ.Com等。

特别注意的是,勒索软件将在运作步骤中自身拷贝,并在注册表中加上一个自启动项。如果未祛除系统中剩下的病毒感染颗粒物,则可能会碰到二次加锁。   讹诈功用

1.赎金信息给出:

2.勒索软件加密文件的后缀名为[初始文件夹名称] + Id [任意字符串] + [电子邮件地址] .phobos,

给出如图 深入分析 1.获得程序令牌管理权限信息,给出如图:

 2.获得固态盘信息给出:

3.解密码互斥锁自变量名字Global0011A9E993800并建立互斥自变量,给出如图:

.4按给出方式提高工作流程管理权限: 07.png  16.将本身拷贝到C: \ Users \ panda \ AppData \ Local文件目录并快速设置开机启动注册表项,

给出如图: 快速设置开机启动注册表项HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run,

给出如图: 快速设置开机启动注册表项 HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \

运作给出:拷贝的文档给出:

6.将本身拷贝到开机启动文件目录,

给出如图:  拷贝的文档给出:

4.建立一个进程,建立一个排水管道,然后通过CreateProcess启用cmd指令全部删除硬盘阴影和备份文件使用,

启用的相对指令给出:

8.建立一个进程,建立一个排水管道,然后通过CreateProcess启用cmd指令,关闭防火墙和相对的指令,

相对的指令给出: Netsh advfirewall快速设置currentprofile状态关掉\ nnetsh防火墙设置opmode mode=停止使用  出口处 0.解密码添加相对的加锁尾缀,

给出如图: 5.解密码要加锁的文件扩展名目录,给出如图:

4.解密码未加密文件名目录和勒索软件非常文件夹名称info.hta,

给出如图: 未加密文件名目录给出: Boot.ini,bootfontbin,ntldr,ntdetect.Com,io.sys 12.解密码未加锁文件目录目录,

有关文件目录目录给出: C: \ Windows,程序文件,程序文件(x86) c: \ windows,程序文件,程序文件(x86)

13.建立一个进程并遍历硬盘文件目录,

14.建立一个进程并遍历共亨文件目录,给出如图:15.给出遍历文档:

5.给出快速设置加锁密匙:

加密文件,用到尾缀.Id [1A9E9938-0001]。[tedmundboardus@aol.Com] .phobos加锁,给出如图:

 18.在每一硬盘的根目录中添加相对的勒索软件信息文档info.hta和info.txt,

给出如图: 解 对己经用到勒索软件的客户,提议尽早隔離受感柒的服务器,因为沒有解密码专用工具。深信��提示客户尽早搞好病毒检测和防御力具体措施,避免病毒感染大家族的勒索软件进攻。   病毒检测和杀毒

1,深信为广阔客户出具免费杀毒专用工具,免费下载下列专用工具进行检测和杀毒。

32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 31位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z   2.深信EDR新产品,下一代防火墙和安全认知网络平台相应其它网络安全产品都配备了病毒检测功用。布署有关新产品的客户实行病毒检测,

如图所示:病毒感染防御力 深信安全团队图片再度提示广阔客户,勒索病毒以避免具体,大部分文档在讹诈软件加密后没法解密码,需注意平时防范措施:

1.按时修复计算机系统以修复漏洞。

2.不定期实行主要数据文件的非当地备份文件。

3.不可点击来源于末知来源于的电子邮箱附件,也不要从末知网址下载微信。

.4尝试关掉多余的文件共享管理权限。

16.变更账号登陆密码,快速设置强登陆密码,并避免用到统一性登陆密码,因为统一性登陆密码会导致密码泄露,好几个登陆密码遭遇损害。

6.如果服务管理不用RDP,提议关掉RDP。当發生该类恶性事件时,提议用到深层令人信服的防火墙设置,或集中器隔離没有响应网络平台(EDR)微隔