Phobos勒索病毒样本分析
概述
该样本隶属于Phobos家族。Phobos家族通常通过RDP暴力破解+人工投放的方式进行攻击。
攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.Devos>,目前该勒索无法解密。
相关文件(IoCs)
该样本为公司样本,故不提供相关特征。
传播方式
Phobos家族通常通过RDP暴力破解+人工投放+钓鱼邮件的方式进行攻击。
行为分析
删除卷影拷贝以避免系统恢复
1 | vssadmin delete shadows /all /quiet |
禁用Windows防火墙
1 | netsh advfirewall set currentprofile state off |
将自身拷贝到其他目录下
将自身拷贝到多个位置,并设置对应的开机启动项。
向文件目录中插入自启动执行点 (ASEP) 项以在操作系统中实现持久化
进程提权
进程遍历
遍历进程,并结束掉指定进程进程。主要包含数据库进程,以mysql和sqlserver等数据库进程。
1 | msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;agntsvc.exe;agntsvc.exe;agntsvc.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe |
查询计算机名
遍历回收站
加密文件
此次勒索软件变种使用了“RSA+AES”加密算法对所有文件进行加密
加密完成后,删除原有文件。只保留加密后文件
勒索信息
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 凌鸽技术博客!
评论