背景概述

老牌勒索病毒Phobos自從2019年出現以來，一直保持著很高的活躍度，並常年佔據勒索病毒榜單前三，其不斷推出新變種，並頻繁透過RDP暴破、釣魚郵件等方式對企業單位及個人使用者進行攻擊，使受害者遭受資料財產的嚴重損失，影響十分惡劣。

前期變種分析文章：《準備交贖金？當心Phobos勒索病毒二次加密！》

/Phobos勒索信頁面/

近日，深信服安服應急響應中心聯合終端安全團隊捕獲了一起Phobos勒索病毒的新變種，其透過偽裝成正常的程式安裝包，將勒索病毒主體加密儲存到配置檔案中的方式，繞過殺軟檢測。

可以看到，不同於以往簡單粗暴的直接加密，勒索病毒越來越多的開始借鑑APT攻擊中的一些高階技術，以提高攻擊成功的機率，使用者在使用電腦時更加需要增強安全意識，注意防範。 

 

樣本分析

病毒母體偽裝成了一個程式安裝包：

 

執行後會將程式安裝釋放到%appdata%\Plagius Device Service目錄下並執行plagsync.exe：

 

plagsync.exe執行後會載入動態連結庫libGLES3.dll，如下：

 

呼叫匯出函式sws_printVec2，如下：

 

讀取changelog.xml檔案：

 

changelog.xml為一個xml格式的檔案，如下：

 

其中被插入了多段二進位制資料：

 

逐段提取出xml中的二進位制資料：

 

將二進位制資料解密到記憶體中，結果為一個PE檔案，即Phobos勒索病毒本體：

 

裝載執行解密出的PE檔案，執行勒索行為：

 

將程式對應檔案即plagsync.exe複製到Local目錄：

 

透過登錄檔將plagsync.exe設定為自啟動：

 

將”Plagius Device Service”目錄下的檔案khjdr5ytekre.txt也複製到Local目錄，但事實上”Plagius Device Service”目錄下並不存在檔案khjdr5ytekre.txt，因此猜測為其他變種的勒索payload，病毒的開發者這裡可能使用了錯誤的變種檔案，同時也可以看到Phobos已經開始用各種不同的方式繞過殺軟：

 

將plagsync.exe以及khjdr5ytekre.txt複製到系統啟動專案錄，如下：

 

結束如下程式：

 

刪除磁碟卷影：

 

關閉防火牆：

 

獲取磁碟資訊：

 

遍歷檔案：

 

遍歷共享檔案：

 

對檔案進行加密，加密後的檔案加上”Devos”字尾：

 

生成並開啟勒索資訊檔案：

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

 

深信服安全產品解決方案

1. 深信服安全感知管理平臺SIP、下一代防火牆AF、終端響應檢測平臺EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

 

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。