近幾年來，勒索病毒蔓延態勢日益嚴峻，全球成千上萬的服務器、數據庫遭受入侵破壞。其中，Phobos勒索病毒家族以常年作惡多端而臭名昭著。360安全大腦發布的《2020年6月勒索病毒疫情分析》顯示，就在剛剛過去的六月中，Phobos勒索病毒家族以21.79%的占比，再度斬獲6月勒索病毒占比榜單亞軍，其驚人破壞力可見一斑。

　　作為勒索“悍匪”中的老牌勁旅，Phobos勒索病毒首次出現于 2018 年 12 月，因當時會在加密文件后添加后綴名Phobos而得名。和大多勒索病毒相同，之前國內的Phobos勒索病毒主要通過利用開放或不安全的遠程桌面協議RDP，來進行傳播感染。

　　而在近日，360安全大腦監測到Phobos勒索病毒新變種現身網絡，該病毒以系統激活工具等軟件作為載體，誘導用戶下載安裝后入侵受害者電腦，竊取用戶機器信息，并進一步通過木馬C&C服務器下載加密勒索相關程序，實施比特幣勒索。在短短一周多的時間里，該變種就已傳播感染十余個國家。

　　目前，在360安全大腦的極智賦能下，360安全衛士可有效攔截查殺該勒索病毒變種，建議廣大用戶盡快下載安裝最新版360安全衛士，全面保障個人隱私及財產安全。

　　藏身系統激活工具誘導下載

　　一周內全球多國不幸中招

　　據360安全大腦監測顯示，該勒索病毒變種以系統激活工具等軟件作為突破口。一旦用戶受到誘導下載運行，偽裝成第一層“羊皮”的powershell腳本，就會下載執行pps.ps1的另一個powershell腳本，pps.ps1則解密釋放出以base64加密的exe文件數據到%userprofile%目錄下并加載，該exe則實施受害者電腦信息的竊取，并進一步通過木馬C&C服務器下載加密勒索相關文件。

　　Phobos病毒變種入侵流程

　　pps.ps1解密exe文件數據并執行

　　在完成文件加密后，Phobos勒索病毒變種會添加特定后綴名為id[XXXXXXXX-2275].[helprecover@foxmail.com].help，其中“XXXXXXXX”為磁盤序列號。同時，其還會在受害者電腦的桌面目錄和磁盤根目錄，釋放名為info.hta和info.txt文件作為勒索信。通過調用起與info.txt相同文本內容的info.hta程序，標題名為“All your files have been encrypted”的彈框，會告知受害者病毒作者聯系方式，及比特幣贖金支付方式等信息。

　　Phobos病毒變種彈框勒索比特幣

　　顯示勒索信息的info.hta和info.txt文件以及加密文件后綴名

　　根據pps.ps1腳本解密釋放病毒exe程序的時間戳為2020/7/12可知，在從該時間戳至今的短短一周多的時間里，該勒索病毒變種已傳播感染十余個國家。

　　Phobos勒索病毒新變種感染分布圖

　　多樣加密功能全面升級

　　細數猖獗作惡“五宗罪”

　　與之前版本相比，Phobos勒索病毒變種在對加密勒索功能模塊偽裝、安全防護機制繞過及本地持久化等多方面都實現了升級。經深度分析后，360安全大腦重現了該勒索病毒變種猖獗作惡的“五宗罪”。

　　1.“層層羊皮”包裹偽裝，加密勒索功能模塊行跡隱秘

　　當用戶下載執行在%userprofile%目錄下的exe文件，由powershell解密釋放落地后，會進一步從木馬服務器，下載用于文件加密的可執行程序zeVrk.exe等文件完成加密勒索行為。

　　pps.ps1解密exe文件數據并執行

　　該病毒首先利用計劃任務中的SilentCleanup繞過UAC，然后從木馬服務器獲取原始文件名為zeVrk.exe的木馬程序。該木馬程序會從資源段中提取并解密經過base64加密的名為“AndroidStudio.dll ”的dll數據，調用其導出函數StartGame()，進而繼續從dll的資源段提取加密的文件數據，然后將其解壓縮并異或解密，還原為負責加密勒索功能的exe文件數據，隨后加載該exe。“脫下”兩層資源段解密并加載的“羊皮”偽裝后，該exe將完成實質上的文件加密操作。

　　zeVrk.exe解密資源段的AndroidStudio.dll文件數據，調用其導出函數StartGame()

　　AndroidStudio.dll!StartGame解壓縮解密并加載負責文件加密exe

　　2.“入室”竊取隱私數據，為潛在攻擊打下頭陣

　　一旦病毒變種入侵成功，其首先會在竊取目標電腦上CPU型號、聲卡顯卡等硬件信息，以及所屬國家、IP地址、安裝軟件等用戶信息后，將這些信息寫入“system.txt”文件;同時還會嘗試獲取本機賬戶密碼信息，并寫入“password.txt”文件;也同樣會將獲取到的當前屏幕截圖命名為“screenshot.jpg”。而后，其會將這三個文件打包為壓縮文件回傳木馬服務器并刪除本地的壓縮包文件，而這些被竊取的用戶信息很有可能為Phobos家族未來進一步的潛在攻擊打下頭陣。

　　system.txt中記錄的受害者電腦信息

　　壓縮包記錄受害者信息的各文件

　　3.花式繞過Windows Defender，無視安全防護機制壁壘

　　該病毒變種還會通過木馬服務器下載原始文件名為“Disable-Windows-Defender.exe”的程序來禁用Windows Defender的各功能。其方式包括：修改注冊表關閉Windows Defender實時保護等功能，調用powershell執行“ Get-MpPreference -verbose”命令檢查當前的Windows Defender設置，并嘗試關閉指定的Windows Defender功能。

　　修改注冊表關閉Windows Defender功能

　　調用powershell關閉Windows Defender功能

　　4.“投機取巧”繞過UAC，大肆執行惡意行為

　　計劃任務中的SilentCleanup以普通用戶權限即可啟動，并且啟動后自動提升為高權限。該病毒變種根據這一特點，利用計劃任務中權限控制不嚴格的SilentCleanup來繞過用戶賬戶控制UAC。

　　病毒變種利用SilentCleanup繞過UAC

　　5. 多重備份保證本地持久化，三大策略防止文件被恢復

　　病毒會將負責文件加密任務的zeVrk.exe文件拷貝到%LocalAppData%、%temp%以及開機啟動Startup目錄中，并添加zeVrk.exe文件路徑到注冊表啟動項中，從而實現加密勒索的本地持久化，達到當用戶重啟計算機時再次掃描磁盤加密新文件的目的。

　　zeVrk.exe(原始文件名)所在目錄

　　病毒變種添加的注冊表啟動項

　　同時，為了防止加密文件的恢復，該病毒變種會通過以下命令來刪除磁盤卷影備份, 修改啟動策略以禁用 Windows啟動修復, 以及刪除windows server backup備份：

　　vssadmin delete shadows /all /quiet

　　wmic shadowcopy delete

　　bcdedit /set {default} bootstatuspolicy ignoreallfailures

　　bcdedit /set {default} recoveryenabled no

　　wbadmin delete catalog -quiet

　　文件加密行為“面面俱到”

　　360安全大腦多維抵御安全風險

　　在加密文件的過程中，從AndroidStudio.dll資源段解密并加載的exe程序，會負責實質上的加密任務，其包含的功能有：文件占用解除，“RSA+AES”算法加密等。

　　勒索病毒變種首先通過進程快照枚舉當前進程，并通過進程名匹配，結束掉可能造成文件占用從而影響加密的40余個進程。

　　病毒變種結束指定進程解除文件占用

　　隨后木馬會掃描當前機器的網絡共享磁盤和本地磁盤，準備進行文件加密。

　　掃描當前機器的UNC網絡共享磁盤和本地磁盤

　　病毒會通過AES256算法為網絡共享磁盤和本地磁盤生成32字節的AES密鑰。然而實際上該密鑰只有前16字節是以時間為因子和SHA256摘要算法獲取的隨機值，而后16字節取自病毒內置的攻擊者RSA公鑰的第17-32字節。

　　病毒變種生成的AES密鑰

　　對于生成的32字節AES密鑰，病毒使用RSA算法對其進行加密，被加密內容包含AES密鑰，磁盤序列號，偽隨機數等在內共128字節。

　　RSA加密 AES密鑰

　　開始文件加密前，病毒首先判斷待加密文件大小。如果文件小于0x180000字節(即1.5Mb)或待加密文件被標記為全加密文件類型，則phobos將待加密文件全部加密;否則只加密文件的部分內容。

　　判斷文件大小區別加密方式

　　對于全加密文件，該病毒變種首先創建一個新文件，并為原始文件名拼接上加密文件特定后綴名。然后依次讀取待加密文件數據到內存，使用AES隨機密鑰和16字節的隨機初始變量進行CBC模式加密，并將加密內容依次寫入新創建文件。

　　文件數據加密完成后，其會在新文件尾部追加密鑰、原文件等相關數據共0xF0個字節，該文件尾主要包含以下內容：已加密原文件名在內的64字節， AES加密初始向量IV，已經RSA加密的AES加密密鑰和系統磁盤序列號，占用4字節的尾部空間大小標記(0xF0),以及疑似標志Phobos病毒版本號的6字節常量值。

　　文件全加密

　　全加密文件的文件尾數據

　　對于部分加密文件，病毒從待加密文件中讀取3次0x40000字節大小的數據片段，再加之常量和校驗值，采用與全加密相同的加密算法進行數據加密，然后寫入加密后數據到文件尾部，并清空被加密的原始數據片段。

　　文件部分加密

　　值得一提的是，近半年來，勒索病毒的蔓延勢頭愈加強勁，諸如Phobos勒索病毒變種的新型勒索病毒相繼涌現，不僅入侵方式更隱蔽，傳播速度更迅速，同時破壞效果也更加令人震驚。因此，廣大用戶需時刻提高防護意識，做好安全防御措施。

　　不過廣大用戶無需過分擔心，在360安全大腦的極智賦能下，360安全衛士目前已可有效攔截查殺該勒索病毒變種。為全面保障廣大用戶的個人隱私及財產安全，凈化網絡環境，360安全大腦給出以下幾點安全建議：

　　1、前往weishi.360.cn下載安裝360安全衛士，并保持360安全衛士進程的常駐，可有效防護各類勒索病毒威脅;

　　2、提高個人網絡安全意識，不輕易從各下載站下載所謂的“免費”激活工具等軟件。建議從軟件官網，360軟件管家等正規渠道下載安裝軟件，對于被360安全衛士攔截的不熟悉的軟件，不要繼續運行和添加信任。

　　Md5:

　　01f6d86a3e0050cb116ad4f16f12a420

　　1e9d15d0e69d2ddaa1201eeb9859645e

　　7f572cad5b68d5b32e330aca579152ae

　　1c4e0d89e074f8fd8190a3887c378ed9

　　f4b5c1ebf4966256f52c4c4ceae87fb1

　　ac5f2c74c8c86f4c6914e646cf7ae975

　　9e6b25770a41c39721dd3753e7924697

　　636a3d5759907f7a3261beac3f75ca6a

　　89cae80db18a87076fb59c2deff65b66

　　URLs:

　　hxxp://boundertime.ru/pps.ps1

　　hxxp://marcakass.ug/ac.exe

　　hxxp://marcakass.ug/rc.exe

　　hxxp://marcakass.ug/ds1.exe

　　hxxp://marcakass.ug/ds2.exe

　　hxxp://evanhopping.com/Zbixrpx.exe

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。