近幾年來，勒索病毒蔓延態(tài)勢(shì)日益嚴(yán)峻，全球成千上萬的服務(wù)器、數(shù)據(jù)庫遭受入侵破壞。其中，Phobos勒索病毒家族以常年作惡多端而臭名昭著。360安全大腦發(fā)布的《2020年6月勒索病毒疫情分析》顯示，就在剛剛過去的六月中，Phobos勒索病毒家族以21.79%的占比，再度斬獲6月勒索病毒占比榜單亞軍，其驚人破壞力可見一斑。

　　作為勒索“悍匪”中的老牌勁旅，Phobos勒索病毒首次出現(xiàn)于 2018 年 12 月，因當(dāng)時(shí)會(huì)在加密文件后添加后綴名Phobos而得名。和大多勒索病毒相同，之前國內(nèi)的Phobos勒索病毒主要通過利用開放或不安全的遠(yuǎn)程桌面協(xié)議RDP，來進(jìn)行傳播感染。

　　而在近日，360安全大腦監(jiān)測(cè)到Phobos勒索病毒新變種現(xiàn)身網(wǎng)絡(luò)，該病毒以系統(tǒng)激活工具等軟件作為載體，誘導(dǎo)用戶下載安裝后入侵受害者電腦，竊取用戶機(jī)器信息，并進(jìn)一步通過木馬C&C服務(wù)器下載加密勒索相關(guān)程序，實(shí)施比特幣勒索。在短短一周多的時(shí)間里，該變種就已傳播感染十余個(gè)國家。

　　目前，在360安全大腦的極智賦能下，360安全衛(wèi)士可有效攔截查殺該勒索病毒變種，建議廣大用戶盡快下載安裝最新版360安全衛(wèi)士，全面保障個(gè)人隱私及財(cái)產(chǎn)安全。

　　藏身系統(tǒng)激活工具誘導(dǎo)下載

　　一周內(nèi)全球多國不幸中招

　　據(jù)360安全大腦監(jiān)測(cè)顯示，該勒索病毒變種以系統(tǒng)激活工具等軟件作為突破口。一旦用戶受到誘導(dǎo)下載運(yùn)行，偽裝成第一層“羊皮”的powershell腳本，就會(huì)下載執(zhí)行pps.ps1的另一個(gè)powershell腳本，pps.ps1則解密釋放出以base64加密的exe文件數(shù)據(jù)到%userprofile%目錄下并加載，該exe則實(shí)施受害者電腦信息的竊取，并進(jìn)一步通過木馬C&C服務(wù)器下載加密勒索相關(guān)文件。

　　Phobos病毒變種入侵流程

　　pps.ps1解密exe文件數(shù)據(jù)并執(zhí)行

　　在完成文件加密后，Phobos勒索病毒變種會(huì)添加特定后綴名為id[XXXXXXXX-2275].[helprecover@foxmail.com].help，其中“XXXXXXXX”為磁盤序列號(hào)。同時(shí)，其還會(huì)在受害者電腦的桌面目錄和磁盤根目錄，釋放名為info.hta和info.txt文件作為勒索信。通過調(diào)用起與info.txt相同文本內(nèi)容的info.hta程序，標(biāo)題名為“All your files have been encrypted”的彈框，會(huì)告知受害者病毒作者聯(lián)系方式，及比特幣贖金支付方式等信息。

　　Phobos病毒變種彈框勒索比特幣

　　顯示勒索信息的info.hta和info.txt文件以及加密文件后綴名

　　根據(jù)pps.ps1腳本解密釋放病毒exe程序的時(shí)間戳為2020/7/12可知，在從該時(shí)間戳至今的短短一周多的時(shí)間里，該勒索病毒變種已傳播感染十余個(gè)國家。

　　Phobos勒索病毒新變種感染分布圖

　　多樣加密功能全面升級(jí)

　　細(xì)數(shù)猖獗作惡“五宗罪”

　　與之前版本相比，Phobos勒索病毒變種在對(duì)加密勒索功能模塊偽裝、安全防護(hù)機(jī)制繞過及本地持久化等多方面都實(shí)現(xiàn)了升級(jí)。經(jīng)深度分析后，360安全大腦重現(xiàn)了該勒索病毒變種猖獗作惡的“五宗罪”。

　　1.“層層羊皮”包裹偽裝，加密勒索功能模塊行跡隱秘

　　當(dāng)用戶下載執(zhí)行在%userprofile%目錄下的exe文件，由powershell解密釋放落地后，會(huì)進(jìn)一步從木馬服務(wù)器，下載用于文件加密的可執(zhí)行程序zeVrk.exe等文件完成加密勒索行為。

　　pps.ps1解密exe文件數(shù)據(jù)并執(zhí)行

　　該病毒首先利用計(jì)劃任務(wù)中的SilentCleanup繞過UAC，然后從木馬服務(wù)器獲取原始文件名為zeVrk.exe的木馬程序。該木馬程序會(huì)從資源段中提取并解密經(jīng)過base64加密的名為“AndroidStudio.dll ”的dll數(shù)據(jù)，調(diào)用其導(dǎo)出函數(shù)StartGame()，進(jìn)而繼續(xù)從dll的資源段提取加密的文件數(shù)據(jù)，然后將其解壓縮并異或解密，還原為負(fù)責(zé)加密勒索功能的exe文件數(shù)據(jù)，隨后加載該exe。“脫下”兩層資源段解密并加載的“羊皮”偽裝后，該exe將完成實(shí)質(zhì)上的文件加密操作。

　　zeVrk.exe解密資源段的AndroidStudio.dll文件數(shù)據(jù)，調(diào)用其導(dǎo)出函數(shù)StartGame()

　　AndroidStudio.dll!StartGame解壓縮解密并加載負(fù)責(zé)文件加密exe

　　2.“入室”竊取隱私數(shù)據(jù)，為潛在攻擊打下頭陣

　　一旦病毒變種入侵成功，其首先會(huì)在竊取目標(biāo)電腦上CPU型號(hào)、聲卡顯卡等硬件信息，以及所屬國家、IP地址、安裝軟件等用戶信息后，將這些信息寫入“system.txt”文件;同時(shí)還會(huì)嘗試獲取本機(jī)賬戶密碼信息，并寫入“password.txt”文件;也同樣會(huì)將獲取到的當(dāng)前屏幕截圖命名為“screenshot.jpg”。而后，其會(huì)將這三個(gè)文件打包為壓縮文件回傳木馬服務(wù)器并刪除本地的壓縮包文件，而這些被竊取的用戶信息很有可能為Phobos家族未來進(jìn)一步的潛在攻擊打下頭陣。

　　system.txt中記錄的受害者電腦信息

　　壓縮包記錄受害者信息的各文件

　　3.花式繞過Windows Defender，無視安全防護(hù)機(jī)制壁壘

　　該病毒變種還會(huì)通過木馬服務(wù)器下載原始文件名為“Disable-Windows-Defender.exe”的程序來禁用Windows Defender的各功能。其方式包括：修改注冊(cè)表關(guān)閉Windows Defender實(shí)時(shí)保護(hù)等功能，調(diào)用powershell執(zhí)行“ Get-MpPreference -verbose”命令檢查當(dāng)前的Windows Defender設(shè)置，并嘗試關(guān)閉指定的Windows Defender功能。

　　修改注冊(cè)表關(guān)閉Windows Defender功能

　　調(diào)用powershell關(guān)閉Windows Defender功能

　　4.“投機(jī)取巧”繞過UAC，大肆執(zhí)行惡意行為

　　計(jì)劃任務(wù)中的SilentCleanup以普通用戶權(quán)限即可啟動(dòng)，并且啟動(dòng)后自動(dòng)提升為高權(quán)限。該病毒變種根據(jù)這一特點(diǎn)，利用計(jì)劃任務(wù)中權(quán)限控制不嚴(yán)格的SilentCleanup來繞過用戶賬戶控制UAC。

　　病毒變種利用SilentCleanup繞過UAC

　　5. 多重備份保證本地持久化，三大策略防止文件被恢復(fù)

　　病毒會(huì)將負(fù)責(zé)文件加密任務(wù)的zeVrk.exe文件拷貝到%LocalAppData%、%temp%以及開機(jī)啟動(dòng)Startup目錄中，并添加zeVrk.exe文件路徑到注冊(cè)表啟動(dòng)項(xiàng)中，從而實(shí)現(xiàn)加密勒索的本地持久化，達(dá)到當(dāng)用戶重啟計(jì)算機(jī)時(shí)再次掃描磁盤加密新文件的目的。

　　zeVrk.exe(原始文件名)所在目錄

　　病毒變種添加的注冊(cè)表啟動(dòng)項(xiàng)

　　同時(shí)，為了防止加密文件的恢復(fù)，該病毒變種會(huì)通過以下命令來刪除磁盤卷影備份, 修改啟動(dòng)策略以禁用 Windows啟動(dòng)修復(fù), 以及刪除windows server backup備份：

　　vssadmin delete shadows /all /quiet

　　wmic shadowcopy delete

　　bcdedit /set {default} bootstatuspolicy ignoreallfailures

　　bcdedit /set {default} recoveryenabled no

　　wbadmin delete catalog -quiet

　　文件加密行為“面面俱到”

　　360安全大腦多維抵御安全風(fēng)險(xiǎn)

　　在加密文件的過程中，從AndroidStudio.dll資源段解密并加載的exe程序，會(huì)負(fù)責(zé)實(shí)質(zhì)上的加密任務(wù)，其包含的功能有：文件占用解除，“RSA+AES”算法加密等。

　　勒索病毒變種首先通過進(jìn)程快照枚舉當(dāng)前進(jìn)程，并通過進(jìn)程名匹配，結(jié)束掉可能造成文件占用從而影響加密的40余個(gè)進(jìn)程。

　　病毒變種結(jié)束指定進(jìn)程解除文件占用

　　隨后木馬會(huì)掃描當(dāng)前機(jī)器的網(wǎng)絡(luò)共享磁盤和本地磁盤，準(zhǔn)備進(jìn)行文件加密。

　　掃描當(dāng)前機(jī)器的UNC網(wǎng)絡(luò)共享磁盤和本地磁盤

　　病毒會(huì)通過AES256算法為網(wǎng)絡(luò)共享磁盤和本地磁盤生成32字節(jié)的AES密鑰。然而實(shí)際上該密鑰只有前16字節(jié)是以時(shí)間為因子和SHA256摘要算法獲取的隨機(jī)值，而后16字節(jié)取自病毒內(nèi)置的攻擊者RSA公鑰的第17-32字節(jié)。

　　病毒變種生成的AES密鑰

　　對(duì)于生成的32字節(jié)AES密鑰，病毒使用RSA算法對(duì)其進(jìn)行加密，被加密內(nèi)容包含AES密鑰，磁盤序列號(hào)，偽隨機(jī)數(shù)等在內(nèi)共128字節(jié)。

　　RSA加密 AES密鑰

　　開始文件加密前，病毒首先判斷待加密文件大小。如果文件小于0x180000字節(jié)(即1.5Mb)或待加密文件被標(biāo)記為全加密文件類型，則phobos將待加密文件全部加密;否則只加密文件的部分內(nèi)容。

　　判斷文件大小區(qū)別加密方式

　　對(duì)于全加密文件，該病毒變種首先創(chuàng)建一個(gè)新文件，并為原始文件名拼接上加密文件特定后綴名。然后依次讀取待加密文件數(shù)據(jù)到內(nèi)存，使用AES隨機(jī)密鑰和16字節(jié)的隨機(jī)初始變量進(jìn)行CBC模式加密，并將加密內(nèi)容依次寫入新創(chuàng)建文件。

　　文件數(shù)據(jù)加密完成后，其會(huì)在新文件尾部追加密鑰、原文件等相關(guān)數(shù)據(jù)共0xF0個(gè)字節(jié)，該文件尾主要包含以下內(nèi)容：已加密原文件名在內(nèi)的64字節(jié)， AES加密初始向量IV，已經(jīng)RSA加密的AES加密密鑰和系統(tǒng)磁盤序列號(hào)，占用4字節(jié)的尾部空間大小標(biāo)記(0xF0),以及疑似標(biāo)志Phobos病毒版本號(hào)的6字節(jié)常量值。

　　文件全加密

　　全加密文件的文件尾數(shù)據(jù)

　　對(duì)于部分加密文件，病毒從待加密文件中讀取3次0x40000字節(jié)大小的數(shù)據(jù)片段，再加之常量和校驗(yàn)值，采用與全加密相同的加密算法進(jìn)行數(shù)據(jù)加密，然后寫入加密后數(shù)據(jù)到文件尾部，并清空被加密的原始數(shù)據(jù)片段。

　　文件部分加密

　　值得一提的是，近半年來，勒索病毒的蔓延勢(shì)頭愈加強(qiáng)勁，諸如Phobos勒索病毒變種的新型勒索病毒相繼涌現(xiàn)，不僅入侵方式更隱蔽，傳播速度更迅速，同時(shí)破壞效果也更加令人震驚。因此，廣大用戶需時(shí)刻提高防護(hù)意識(shí)，做好安全防御措施。

　　不過廣大用戶無需過分擔(dān)心，在360安全大腦的極智賦能下，360安全衛(wèi)士目前已可有效攔截查殺該勒索病毒變種。為全面保障廣大用戶的個(gè)人隱私及財(cái)產(chǎn)安全，凈化網(wǎng)絡(luò)環(huán)境，360安全大腦給出以下幾點(diǎn)安全建議：

　　1、前往weishi.#下載安裝360安全衛(wèi)士，并保持360安全衛(wèi)士進(jìn)程的常駐，可有效防護(hù)各類勒索病毒威脅;

　　2、提高個(gè)人網(wǎng)絡(luò)安全意識(shí)，不輕易從各下載站下載所謂的“免費(fèi)”激活工具等軟件。建議從軟件官網(wǎng)，360軟件管家等正規(guī)渠道下載安裝軟件，對(duì)于被360安全衛(wèi)士攔截的不熟悉的軟件，不要繼續(xù)運(yùn)行和添加信任。

　　Md5:

　　01f6d86a3e0050cb116ad4f16f12a420

　　1e9d15d0e69d2ddaa1201eeb9859645e

　　7f572cad5b68d5b32e330aca579152ae

　　1c4e0d89e074f8fd8190a3887c378ed9

　　f4b5c1ebf4966256f52c4c4ceae87fb1

　　ac5f2c74c8c86f4c6914e646cf7ae975

　　9e6b25770a41c39721dd3753e7924697

　　636a3d5759907f7a3261beac3f75ca6a

　　89cae80db18a87076fb59c2deff65b66

　　URLs:

　　hxxp://boundertime.ru/pps.ps1

　　hxxp://marcakass.ug/ac.exe

　　hxxp://marcakass.ug/rc.exe

　　hxxp://marcakass.ug/ds1.exe

　　hxxp://marcakass.ug/ds2.exe

　　hxxp://evanhopping.com/Zbixrpx.exe

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。