概述

该样本隶属于Phobos家族。Phobos家族通常通过RDP暴力破解+人工投放的方式进行攻击。

攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.Devos>,目前该勒索无法解密。

相关文件(IoCs)

该样本为公司样本,故不提供相关特征。

传播方式

Phobos家族通常通过RDP暴力破解+人工投放+钓鱼邮件的方式进行攻击。

行为分析

删除卷影拷贝以避免系统恢复

1
2
3
4
5
6
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
exit

2022-10-28T09:53:51.png

禁用Windows防火墙

1
2
3
netsh advfirewall set currentprofile state off
netsh firewall set opmode mode=disable
exit

2022-10-28T09:54:25.png

将自身拷贝到其他目录下

将自身拷贝到多个位置,并设置对应的开机启动项。
2022-10-28T09:54:53.png
向文件目录中插入自启动执行点 (ASEP) 项以在操作系统中实现持久化
2022-10-28T09:55:15.png

进程提权

2022-10-28T09:55:53.png

进程遍历

遍历进程,并结束掉指定进程进程。主要包含数据库进程,以mysql和sqlserver等数据库进程。

1
msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;agntsvc.exe;agntsvc.exe;agntsvc.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe

2022-10-28T09:57:02.png

2022-10-28T09:57:13.png

2022-10-28T09:57:24.png

查询计算机名

2022-10-28T09:57:43.png

遍历回收站

2022-10-28T09:58:01.png

加密文件

此次勒索软件变种使用了“RSA+AES”加密算法对所有文件进行加密
2022-10-28T09:58:27.png
加密完成后,删除原有文件。只保留加密后文件
2022-10-28T09:58:39.png
2022-10-28T09:58:51.png
2022-10-28T09:59:06.png
2022-10-28T09:59:13.png
2022-10-28T09:59:33.png
2022-10-28T09:59:44.png

勒索信息

2022-10-28T10:00:05.png

2022-10-28T10:00:12.png