Phobos
Phobos勒索软件家族从2019年初期开始在全球流行,并持续更新以致出现了大量变种。通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。Phobos是勒索软件家族中新兴的一个大家族,有时被也称为Phobos NextGen和Phobos NotDharma,许多人认为此勒索软件是Dharma勒索软件家族(也称为CrySis)的迭代产品或变种。Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容,以及用于加密文件的命名方式都较为相似。与常见的勒索家族不同,phobos加密后通常会生成 info.txt 和 info.hta 两个勒索信批量存放在每个文件夹下。
首次出现时间:
2019-05
攻击方法:
通过使用远程桌面协议 (RDP) 获得直接访问。勒索软件针对的特定端口是端口 3389。僵尸网络可用于扫描使此端口保持打开状态的系统,从而为phobos家族提供机会,例如使用暴力攻击来猜测登录详细信息。 通过开展网络钓鱼活动来窃取帐户详细信息和密码,或诱骗目标个人打开恶意附件。使用鱼叉式网络钓鱼电子邮件来获得对目标系统的初始访问权限。phobos家族制作带有恶意附件的看似良性的电子邮件,以诱骗毫无戒心的用户感染他们的系统。
勒索地址:
## 平台一、 Telegram
@phobos_support
## 平台二、 邮箱
hudsonL@cock.li shonpen@mailfence.com petinjon@gmail.com MarcusFeldmann1988@gmx.com web.assistant@onionmail.org sqlback@memeware.net
捕获分析:
暂未信息
加密算法:
AES-256 和 RSA-1024
加密钱包:
来源:Solar团队通过勒索信地址获取
bc1qzlz5hta6zxrewhhdl5nkyyrtq68m5dfnnqh00l bc1qg3a3ddr90yyp48gdefm0knewh6cj53x8dsc6q3 371mfXXJo4N8bdMB7Et5iZFMFrewJ7UJTG 3QgvMxC5jb1WkTcNuu7n9viyAYozX2f7R5 bc1qxtww0kls954zd3hg0jgpns3nse8sgg0lwsnluv
受害者勒索金额:
暂未信息
谈判记录:
暂未信息
近期攻击案例:
暂未信息
变种演化:
最活跃的 Phobos 附属公司:
- Eking:至少自 2019 年以来一直活跃,通常以亚太地区的用户为目标。
- Eight:据信是由现在运行 8Base 的同一集团开展的旧活动。
- Elbie:也针对亚太地区的用户,自 2022 年以来一直活跃。
- Devos:尽管这个小组自 2019 年以来一直很活跃,但在网上鲜少有相关的文章记录。
- Faust:自 2022 年以来活跃的另一种变体,不针对特定行业或地区。
每个变体的样本之间的唯一区别通常是加密文件的文件扩展名中使用的联系电子邮件地址,以及其中一个设置中嵌入的赎金记录,所有其他设置都相同。我们分析的所有 Phobos 变体中使用的文件扩展名都遵循与以下示例相同的模板,其中 <
> 替换为受害者的机器驱动器序列号。下一个数字是当前活动的标识符,然后列出用于联系勒索软件行为者的电子邮件,最后,附加代表变体的扩展名。 .id<>-3253.musonn@airmail.cc.eking
IOC 信息
| 类型 | 详情 |
|---|---|
| MD5 | 0900b61febed8da43708f6735ed6c11b |
| MD5 | 20d9fa474fa2628a6abe5485d35ee7e0 |
| MD5 | 2809e15a3a54484e042fe65fffd17409 |
| MD5 | 62885d0f106569fac3985f72f0ca10cb |
| MD5 | 69788b170956a5c58ebd77f7680fde7c |
| MD5 | 9376f223d363e28054676bb6ef2c3e79 |
| MD5 | a567048dd823ff2d395ddd95d1fa5302 |
| MD5 | A567048dd823ff2d395ddd95d1fa5302 |
| MD5 | b119cdd3d02b60009b9ad39da799ed3b |
| MD5 | db74cd067d4a0562b26ea4f10e943e3b |
| MD5 | e59ffeaf7acb0c326e452fa30bb71a36 |
| MD5 | ecdf7acb35e4268bcafb03b8af12f659 |
| MD5 | fe2d1879880466e24e76d8d0963feb93 |
| SHA1 | 18ebb65842ccd3a1d1eeb597f2017267d47daaf9 |
| SHA1 | 33def89ad18a6c3dbaa4b5b5075a84a771157441 |
| SHA1 | 43683751209e85571072d953c0bdd44c883045ee |
| SHA1 | 4a8f0331abaf8f629b3c8220f0d55339cfa30223 |
| SHA1 | 7332956debc4fb14a54d69b0b858bd5b04becac1 |
| SHA1 | 90b2cebbeb377480e321d8f38ea6de2fa661e437 |
| SHA1 | 93b0d892bd3fbb7d3d9efb69fffdc060159d4536 |
| SHA1 | a28af73bcfd4ebe2fe29242c07fec15e0578ec8a |
| SHA1 | aed68cfa282ec2b0f8a681153beaebe3a17d04ee |
| SHA1 | b092a6bf7fb6755e095ed9f35147d1c6710cf2c4 |
| SHA1 | c88fad293256bfead6962124394de4f8b97765aa |
| SHA1 | cb37b10b209ab38477d2e17f21cae12a1cb2adf0 |
| IP | 147.78.47.224 |
| IP | 185.202.0.111 |
| IP | 194.165.16.4 |
| IP | 45.9.74.14 |
| SHA256 | 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c |
| SHA256 | 9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c |
| SHA256 | 482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52 |
| SHA256 | c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763 |
| SHA256 | 58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6 |
| SHA256 | f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed |
| SHA256 | 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c |
| SHA256 | 32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3 |
| SHA256 | 2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66 |
| SHA256 | fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6 |
| SHA256 | a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2 |
18363040868
