近(jìn)幾年(nián)來(lái)，勒索病毒蔓®₽§延态勢日(rì)益嚴峻，全球成千上(shàng)萬的(de)服務器Ω↔₽γ(qì)、數(shù)據庫遭受入侵破壞。其中，Phobos勒索病毒家(jδ∞iā)族以常年(nián)作(zuò)惡多(dβ‌×£uō)端而臭名昭著。360安全大(dà)腦™₹‍φ(nǎo)發布的(de)《2020年(nián)6月(yuè)≠φ÷±勒索病毒疫情分(fēn)析》顯示，就(jiù)在剛剛過去(qù)↕∑的(de)六月(yuè)中，Phobos勒索病毒家(&♦jiā)族以21.79%的(de)占比，☆π再度斬獲6月(yuè)勒索病毒占比榜單亞軍，其驚人(rén)破γ​∞壞力可(kě)見(jiàn)一(yī)斑。

作(zuò)為(wèi)勒索“悍匪”中的(de)老€÷(lǎo)牌勁旅，Phobos勒索病毒首次出現(♥>Ωxiàn)于 2018 年(nián) 12 月(yuè)，因當時(sh™•∑í)會(huì)在加密文(wén)件(jiàn)後↓≈✔添加後綴名Phobos而得(de)名。和(hé)大(dà)多(α‍×duō)勒索病毒相(xiàng)同，之前國(guó)內"$(nèi)的(de)Phobos勒索病毒主要(yào)通(tōng)過利©‌•®用(yòng)開(kāi)放(fàng)或不(bù)安全的(d®§e)遠(yuǎn)程桌面協議(yì)RD←‌P，來(lái)進行(xíng)傳播感染。

而在近(jìn)日(rì)，360安全大(dà✔✔¥)腦(nǎo)監測到(dào)Phobos勒索病毒新變種現(↕ xiàn)身(shēn)網絡，該病毒以系統激活工(gōδ∏★✔ng)具等軟件(jiàn)作(zuò)為(×↔wèi)載體(tǐ)，誘導用(yòng)戶下(xβ>♣'ià)載安裝後入侵受害者電(diàn)腦‍≤≠α(nǎo)，竊取用(yòng)戶機(jī)器(qì)信息，并進一(yī)步通(≥®tōng)過木(mù)馬C&C服務器(qì)下(xià)載加密勒§αε索相(xiàng)關程序，實施比特币勒索。在短(duǎn)短(dΩ★uǎn)一(yī)周多(duō)的(de)時(s♦₹ hí)間(jiān)裡(lǐ)，該變種就β☆"​(jiù)已傳播感染十餘個(gè)國(guó)家(jiā)☆π¥。

目前，在360安全大(dà)腦(nǎo)的(de)極智賦能(néng)下(xδ↕ià)，360安全衛士可(kě)有(yǒu)效攔截查殺該勒索病毒變種，建議(y>π'ì)廣大(dà)用(yòng)戶盡快(kuài)下(xià)載δ✘安裝最新版360安全衛士，全面保障個(gè)人(rén)隐私及财✔§δ産安全。

藏身(shēn)系統激活工(gōng)具"÷↓誘導下(xià)載

      ​↓      &nb¥¥ sp;         &® nbsp;     &nbs♠∑¶×p;         &nbs>±→∏p;        '€;           &α©↕☆nbsp;     &nb¶Ω&αsp;       &n☆∞δ★bsp;       &nbs'>✘<p;一(yī)周內(nèi)全球多(duō)國(guó)不(bù)幸中招

據360安全大(dà)腦(nǎo)監測顯σ↓示，該勒索病毒變種以系統激活工(gōng)₽​<‌具等軟件(jiàn)作(zuò)為(wèi)突破口。一(yī)旦用(yò&∞$ng)戶受到(dào)誘導下(xià)載運行(xíng)，僞裝成第一₽‌(yī)層“羊皮”的(de)powershell腳本，就∑£(jiù)會(huì)下(xià)載執行(xíng)pps.σ∞ps1的(de)另一(yī)個(gè)powershell腳本，p ✘ps.ps1則解密釋放(fàng)出以base64加密的(de)exe文(wé ↑✘£n)件(jiàn)數(shù)據到(dào)®←%userprofile%目錄下(xià)并加載，該ex₹©§e則實施受害者電(diàn)腦(nǎo)信息的(de)竊取，并進一(y '☆ī)步通(tōng)過木(mù)馬C&C服務器(qì)下∏π≠(xià)載加密勒索相(xiàng)關文(wén)件(jiàn)。∑ 

Phobos病毒變種入侵流程

pps.ps1解密exe文(wén)件(jiàn)數(shù)據并執行Ωβλ(xíng)

在完成文(wén)件(jiàn)加密後，Phobos勒索>€ 病毒變種會(huì)添加特定後綴名為(wèi)id[XXXXXXXX-2 ♥₽275].[helprecover@foxmail.com].help，其中 ×“XXXXXXXX”為(wèi)磁盤序列号。同時​₹(shí)，其還(hái)會(huì)在受¶ >害者電(diàn)腦(nǎo)的(de)桌面目錄和(hé)磁盤★φ±∑根目錄，釋放(fàng)名為(wèi)info.hta和(hé)info.tx±♥t文(wén)件(jiàn)作(zuò)為(wèi)勒索信α✘‌₩。通(tōng)過調用(yòng)起與info.txt相(xiàng‍↔)同文(wén)本內(nèi)容的(de)info.hta程序，标題名為(w¶&$èi)“All your files have been encryp§≠→ted”的(de)彈框，會(huì)告知(zhī)受害•€≠÷者病毒作(zuò)者聯系方式，及比特币贖金(jīn →&•)支付方式等信息。

Phobos病毒變種彈框勒索比特币

顯示勒索信息的(de)info.hta和(hé)info.txt文(wén)件(jiàn)以及加密文(wén)件(jiàn)後綴名

根據pps.ps1腳本解密釋放(fàng)病毒exe程序的(de)時(sh§★αí)間(jiān)戳為(wèi)2020/7/12可(kě)知(zhī)，↑®φ在從(cóng)該時(shí)間(jiān)戳至今的(de)短(du←β→£ǎn)短(duǎn)一(yī)周多(duō)的(de)®δ☆↓時(shí)間(jiān)裡(lǐ)，該勒索病毒變種已傳播感染十餘§>​↓個(gè)國(guó)家(jiā)。

Phobos勒索病毒新變種感染分(fēn)布圖

多(duō)樣加密功能(néng)全面升級

細數(shù)猖獗作(zuò)惡“五宗罪”← ∏ε 

與之前版本相(xiàng)比，Phobos勒索病毒變種在對≤¶±(duì)加密勒索功能(néng)模塊僞裝、安全防護機(jī)制(<<§zhì)繞過及本地(dì)持久化(huàΩ∏)等多(duō)方面都(dōu)實現(xiàn)了(l✘₩e)升級。經深度分(fēn)析後，360安全大(dà)腦(nǎo)重現↑✔¥(xiàn)了(le)該勒索病毒變種猖獗作 ≤≤(zuò)惡的(de)“五宗罪”。

1.“層層羊皮”包裹僞裝，加密勒索功能(σ"néng)模塊行(xíng)迹隐秘

當用(yòng)戶下(xià)載執行(xíng)在™≈%userprofile%目錄下(xià)的(de)∞ ↑exe文(wén)件(jiàn)，由power"↔shell解密釋放(fàng)落地(dì)後，會(huì)進一(y←αλσī)步從(cóng)木(mù)馬服務器(qì∏ ×≤)，下(xià)載用(yòng)于文(wén)♥§件(jiàn)加密的(de)可(kě)執 '™‌行(xíng)程序zeVrk.exe等文₹®(wén)件(jiàn)完成加密勒索行(xíng)為₹ (wèi)。

多(duō)樣加密功能(néng)全面升級∑φπ

 細數(shù)猖獗作(zuò)惡“五宗罪” 

與之前版本相(xiàng)比，Phobos勒索病毒變種在對(duì)加密勒索功♥α©↔能(néng)模塊僞裝、安全防護機(jī)制(zhì)繞過及本地(dì)持久化‍∑(huà)等多(duō)方面都(dōu)實•λ♦現(xiàn)了(le)升級。經深度分(fēn)析後，360↕≈$安全大(dà)腦(nǎo)重現(xiàn)了(le)該勒索病毒變種&£¥猖獗作(zuò)惡的(de)“五宗罪”。☆↑€

1.“層層羊皮”包裹僞裝，加密勒索功能(nénα∏ ™g)模塊行(xíng)迹隐秘

當用(yòng)戶下(xià)載執行(xíng)在%userp±₩&<rofile%目錄下(xià)的(de)exe文(wén)件→&(jiàn)，由powershell解密釋放(fà<±®ng)落地(dì)後，會(huì)進一(yī)步從(cóng)木(mùα÷☆←)馬服務器(qì)，下(xià)載用(yòng)于文(‍"wén)件(jiàn)加密的(de)可(kě)執行(xín₩ ★←g)程序zeVrk.exe等文(wén)件(jiàn)完成加密₩πγ"勒索行(xíng)為(wèi)。

zeVrk.exe解密資源段的(de)AndroidStudio.dll文(wén)件(jiàn)數(shù)據，調用(yòng)其導出函數(shù)StartGame()

AndroidStudio.dll!StartGame解壓縮解密并加載負責文(wén)件(jiàβ✘n)加密exe

2.“入室”竊取隐私數(shù)據，為(wèi) ★¶潛在攻擊打下(xià)頭陣

一(yī)旦病毒變種入侵成功，其首先會(huì)在竊取目标電§"(diàn)腦(nǎo)上(shàng)CPU型号、聲卡顯卡等硬件(βγ→jiàn)信息，以及所屬國(guó)家(jiā)、IP地(dì)β'&址、安裝軟件(jiàn)等用(yòng)戶信息後，将這(zhè)些(xiē)信≤↑&息寫入“system.txt”文(wén)件(Ω"€®jiàn)；同時(shí)還(hái)會(huìπ↓Ω∑)嘗試獲取本機(jī)賬戶密碼信息，并寫入“password.txt”文∏§±€(wén)件(jiàn)；也(yě)同樣→₹會(huì)将獲取到(dào)的(de)當前屏幕截圖命名為(w​↕₹↑èi)“screenshot.jpg”。而後，其會(huì)将這(zhè)δ&←★三個(gè)文(wén)件(jiàn)打包為(wèi)壓縮文(wén)件(ji↔&πàn)回傳木(mù)馬服務器(qì)并删除本地(dì)的(de)壓縮包文(wα☆'én)件(jiàn)，而這(zhè)些(xiē)被竊取的(de)用(y∞σòng)戶信息很(hěn)有(yǒu)可(kě)能(nén≥®≈→g)為(wèi)Phobos家(jiā)族未來(lái™✔π↓)進一(yī)步的(de)潛在攻擊打下(xià)頭陣。

system.txt中記錄的(de)受害者電(diàn)腦(nǎo)信息

壓縮包記錄受害者信息的(de)各文(wéΩ♣☆★n)件(jiàn)

3.花(huā)式繞過Windows Defender，無≥'≈視(shì)安全防護機(jī)制(zhì)壁壘

該病毒變種還(hái)會(huì)通(tōng)過木(mù  §)馬服務器(qì)下(xià)載原始文(wén)件(jiàn)& 名為(wèi)“Disable-Windows-Defender.♦≥ exe”的(de)程序來(lái)禁用(yòng)Wind § ♣ows Defender的(de)各功能(néng)。其方式包括：修改注冊•★®→表關閉Windows Defender實時(shí)保護等功能(néng)，₩®∑調用(yòng)powershell執行(xíng)“&×$nbsp;Get-MpPreference -verbose”命←≤¶令檢查當前的(de)Windows Defender設置λ €♥，并嘗試關閉指定的(de)Windows Defend≈↔ ₹er功能(néng)。

修改注冊表關閉Windows Defender功能(néng)

調用(yòng)powershell關閉Windows Defender功能(néng)

4.“投機(jī)取巧”繞過UAC，大(dà)肆執行(xíng)™'©惡意行(xíng)為(wèi)

計(jì)劃任務中的(de)SilentCΩ§←↑leanup以普通(tōng)用(yòng>®♠)戶權限即可(kě)啓動，并且啓動後自(zì)動提升為(wèi  )高(gāo)權限。該病毒變種根據這(z★ ∑∞hè)一(yī)特點，利用(yòng)計(jì)劃任務‍€≤♦中權限控制(zhì)不(bù)嚴格的(de)SilentC ↓¶ leanup來(lái)繞過用(yòng)σ↑戶賬戶控制(zhì)UAC。  

病毒變種利用(yòng)SilentCleanup繞過UAC

5. 多(duō)重備份保證本地(dì)持久化(huà)，三大(γ♣‌dà)策略防止文(wén)件(jiàn)被恢複

病毒會(huì)将負責文(wén)件(jiàn)加密任務的(de)zeVr✘≤k.exe文(wén)件(jiàn)拷貝到(dào)¶∏σ©%LocalAppData%、%temp%以及開(kāi)機(jεφ×ī)啓動Startup目錄中，并添加zeVrk.exe文(wén)件(>✘jiàn)路(lù)徑到(dào)注冊表啓動項中，從( ‌×cóng)而實現(xiàn)加密勒索的(de)本地(dì)持久化(hu₹​Ωà)，達到(dào)當用(yòng)戶重啓計(jì)算(suàα♦¶n)機(jī)時(shí)再次掃描磁盤加密新文(wé‍βεn)件(jiàn)的(de)目的(de)。

zeVrk.exe（原始文(wén)件(jiàn)名）所在≤®  目錄

病毒變種添加的(de)注冊表啓動項

同時(shí)，為(wèi)了(le)防止加密文(wén)件(j☆₩®iàn)的(de)恢複，該病毒變種會(huì)通☆×γε(tōng)過以下(xià)命令來(lái)删除磁β ≤♠盤卷影(yǐng)備份, 修改啓動策略以禁用(yòng)&nb≥>≈sp;Windows啓動修複, 以及删除windows β server backup備份：

vssadmin  delete shadows€∑‌  /all /quiet

wmic  shadowcopy de↓‌lete

bcdedit  /set {default} bootstatus≠σ♥policy ignoreallfailδ$≠ures

bcdedit  /set {def↑↑♥ault} recoveryenabled ↔¶₹✔no

wbadmin  delete c¶÷atalog -quiet

文(wén)件(jiàn)加密行(xíng)為(wèi)“面面俱到>✔↓(dào)”

360安全大(dà)腦(nǎo)多(duō)維抵禦安全風(fēn∞↔→​g)險 

在加密文(wén)件(jiàn)的(deπ¶)過程中，從(cóng)AndroidStudio.dll資源段解密并加載的(∏​'de)exe程序，會(huì)負責實質上(shàng)™≈'₩的(de)加密任務，其包含的(de)功能(néng)σ≥‍©有(yǒu)：文(wén)件(jiàn)占用(yòng)解除，“RSA+®≤☆AES”算(suàn)法加密等。

勒索病毒變種首先通(tōng)過進程快(kuài)照(zhào)枚舉÷ ₽當前進程，并通(tōng)過進程名匹配，結束掉可(φ ¥kě)能(néng)造成文(wén)件(jiàn)占用(yòng)從(cónπ≠g)而影(yǐng)響加密的(de)40餘個(gè)進↕✘≤程。

病毒變種結束指定進程解除文(wén)件(jiàn)占用(yòn ♠πg)

随後木(mù)馬會(huì)掃描當前機(jī)器(qì)的(de ∏↕↓)網絡共享磁盤和(hé)本地(dì)磁盤✔φ←•，準備進行(xíng)文(wén)件(jiàn)加密。

掃描當前機(jī)器(qì)的(de)UNC網絡共享磁盤和(hé)本地(dì)磁盤

病毒會(huì)通(tōng)過AES256算(λ←suàn)法為(wèi)網絡共享磁盤和(hé)本地(dì)磁盤生(sα₩δ hēng)成32字節的(de)AES密鑰₽  ≥。然而實際上(shàng)該密鑰隻有(yǒu)前16字↑≥↑←節是(shì)以時(shí)間(jiān)為(wèi)因子(zǐ)¶§和(hé)SHA256摘要(yào)算(suàn)法獲取的(deσ≈$)随機(jī)值，而後16字節取自(zì)病毒內(nèi)置的(€‌de)攻擊者RSA公鑰的(de)第17-32字節 &。

病毒變種生(shēng)成的(de)AES密鑰σ÷↑$

對(duì)于生(shēng)成的(de)32字←'π✘節AES密鑰，病毒使用(yòng)RSA算(su←→¥àn)法對(duì)其進行(xíng)加密，被加密內(nè∑•™i)容包含AES密鑰，磁盤序列号，僞随機(jī)數(shù)等★£在內(nèi)共128字節。

RSA加密 AES密鑰

開(kāi)始文(wén)件(jiàn)加密前，病毒首↔σ先判斷待加密文(wén)件(jiàn)大(dà)小(xε ↓Ωiǎo)。如(rú)果文(wén)件(jiàn)小(xiǎo)于0x180♣γα±000字節（即1.5Mb）或待加密文(wén)件(jiàγ↕Ωn)被标記為(wèi)全加密文(wén)件(jiàn)類型，則ph±↓> obos将待加密文(wén)件(jiàn)全部加密；否則隻加密‍↔¶文(wén)件(jiàn)的(de)部分(fēn)內(nèi)容。

判斷文(wén)件(jiàn)大(dà)小(xiǎo)區(qū→ ₽ )别加密方式

對(duì)于全加密文(wén)件(jiàn)，該病毒變種首先創建一(yφ∏ī)個(gè)新文(wén)件(jiàn)，并為(wèi)原始文(•φwén)件(jiàn)名拼接上(shàng)加密文(wén)件♣©¥(jiàn)特定後綴名。然後依次讀(dú)取待加↕₽密文(wén)件(jiàn)數(shù)據到(d$∏ào)內(nèi)存，使用(yòng)AES随機£ γ(jī)密鑰和(hé)16字節的(de)随機(<' jī)初始變量進行(xíng)CBC模式♣Ωα加密，并将加密內(nèi)容依次寫入新創建文(wén)件(jiàn)。

文(wén)件(jiàn)數(shù)據加密完₽✔₩&成後，其會(huì)在新文(wén)件(j∏σiàn)尾部追加密鑰、原文(wén)件(jiàn)等相(xià< ♥ng)關數(shù)據共0xF0個(gè)字節， →≤÷該文(wén)件(jiàn)尾主要(yào)包含以下("λσ≠xià)內(nèi)容：已加密原文(wén)件(jγ₹¥÷iàn)名在內(nèi)的(de)64字節， AES加密初始向量≠δIV，已經RSA加密的(de)AES加密密鑰和(hé)系 ∞統磁盤序列号，占用(yòng)4字節的(★←♥de)尾部空(kōng)間(jiān)大(dà)小(xiǎo)标記（0xF0） ε≠ε,以及疑似标志(zhì)Phobos病毒版本号的£λ(de)6字節常量值。

文(wén)件(jiàn)全加密

全加密文(wén)件(jiàn)的(de)≥π₹文(wén)件(jiàn)尾數(shù)據 

對(duì)于部分(fēn)加密文(wén)件(¶♣≈≠jiàn)，病毒從(cóng)待加密文(wén)件(ji±♣àn)中讀(dú)取3次0x40000字節大(dà)小(>×σσxiǎo)的(de)數(shù)據片段，再加之常量和(hé)校• (xiào)驗值，采用(yòng)與全加密相(xiàng)同的(​≈de)加密算(suàn)法進行(xíng)數(shù)據₩¥←↓加密，然後寫入加密後數(shù)據到(dào)文(wén)件(jiàδ÷₩n)尾部，并清空(kōng)被加密的(d☆β‍>e)原始數(shù)據片段。

文(wén)件(jiàn)部分(fēn)加密

值得(de)一(yī)提的(de)是(shì)，&ε★​近(jìn)半年(nián)來(lái)，勒索病毒的(de)蔓延勢頭ε ←σ愈加強勁，諸如(rú)Phobos勒索病毒↔≤σ©變種的(de)新型勒索病毒相(xiàng)ε ε繼湧現(xiàn)，不(bù)僅入侵方式"λ♦更隐蔽，傳播速度更迅速，同時(shí)破壞效果也(yě)更加令人(✘ rén)震驚。因此，廣大(dà)用(yòng)戶需時(shí)刻提高(gā&∑o)防護意識，做(zuò)好(hǎo)安全防禦措施。

不(bù)過廣大(dà)用(yòng)戶無需過分(fēn)擔心，在360安全©Ωβ大(dà)腦(nǎo)的(de)極智賦能(néng)下(xià)，360安全衛§↑$士目前已可(kě)有(yǒu)效攔截查殺該勒索病毒變₽★種。為(wèi)全面保障廣大(dà)用(yòn€<>¶g)戶的(de)個(gè)人(rén)隐私及财産安全，淨化(huà)網絡環境，Ω÷360安全大(dà)腦(nǎo)給出以下(xià)幾點安全建議(yì)×$：

1、前往weishi.360.cn下(xià)載安裝360安全衛士，并保持360安全衛士進程的(de)常駐，→&∞"可(kě)有(yǒu)效防護各類勒索病毒威脅；

2、提高(gāo)個(gè)人(rén)網絡安全意識，不(bù)輕易從(cónδ×σ​g)各下(xià)載站(zhàn)下(xià)載所謂的(​≥$♣de)“免費(fèi)”激活工(gōng)具等軟件(jiβ→→àn)。建議(yì)從(cóng)軟件(ji≥§δàn)官網，360軟件(jiàn)管家(jiā)等正規渠道(dào)下(xià)載安裝軟件(jiàn)，對(duì€♦)于被360安全衛士攔截的(de)不(bù)熟悉的(de)軟件ε♥σφ(jiàn)，不(bù)要(yào)繼續運®&行(xíng)和(hé)添加信任。