phobos勒索病毒家族详情(已支持部分变种解密)

相关阅读：phobos勒索病毒样本分析我是链接请点我勒索病毒家族名称：phobos
是否支持解密：部分解密
详情：
被加密文件：被加密文件后缀被修改成PISCA

勒索提示信息：文件名：info.txt  info.hta
文件内容 :
该勒索病毒并不会在每个文件夹下生成该勒索提示，会在桌面存放该勒索提示信息文档。
-------------------------------------------------------------------------------
Want return your files?Write to our xmpp account - panindogliker@xmpp.jp
The easiest way - register here https://www.xmpp.jp/signup
After download pidgin client https://pidgin.im/
Press Add account,choose protocol xmpp and put username from xmpp.jp where are you sign up
Domain - xmpp.jp
Put your password and press add
When you log in press Buddies --> Add Buddy-->and in Buddys username put beautydonkey xmpp.jp
After you will see added account beautydonkey@xmpp.jp,click twice on it and write your message
You can send us 1-3 test files. The total size of files must be less than 10Mb (non archived),
we will decrypt them and send to you that we are real
If you have a problem with xmpp you can write to our mail worldofdonkeys@protonmail.com
-------------------------------------------------------------------------------


传播方式：
Phobos勒索病毒从从2019年开始传播，该勒索病毒在多方面模仿Crysis勒索病毒。传播渠道也和Crysis勒索病毒一致，通过爆破远程桌面尝试获取远程桌面登录密码，在拿到远程桌面密码后登录到用户机器上进行手动投毒。

防护：
远程桌面若口防护可以通过以下两个渠道进行防护：
1.        建议设置长度为18位  大小写加字符加数字  最好每三个月更换一次密码
2.        卫士目前已经支持弱口令防护 除xp系统外 都支持


其他防护建议：
1.多台机器，不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性，并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4.定期检测系统和软件中的安全漏洞，及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括：
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件，并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。


360开始对部分变种后缀支持解密

支持的变种后缀列表如下：
faust|actin|DIKE|Acton|actor|Acuff|FILE|Acuna|fullz|MMXXII|kmrox|6y8dghklp|SHTORM|NURRI|GHOST|FF6OM6|blue|NX|BACKJOHN|OWN|FS23|2QZ3|top|blackrock|CHCRBO|GSTARS|unknown|STEEL|worry|WIN|duck|fopra|unique|acute|adage|make|Adair|MLF|magic|Adame|banhu|banjo|Banks|Banta|Barak|Caleb|Cales|Caley|calix|Calle|Calum|Calvo|deuce|Dever|devil|Devoe|Devon|Devos|dewar|eight|eject|eking|Elbie|elbow|elder|phobos|help|blend|bqux|com|mamba|KARLOS|DDoS|phoenix|PLUT|karma|bbc|CAPITAL|WALLET|LKS|tech|s1g2n3a4l|MURK|makop|ebaka|jook|LOGAN|FIASKO|GUCCI|decrypt|OOH|Non|grt|LIZARD|FLSCRYPT|SDK|2023|vhdv

360开始对部分变种后缀支持解密，请联系360反勒索工作人员尝试解密可能性。 后缀列表如下：
faust|actin|DIKE|Acton|actor|Acuff|FILE|Acuna|fullz|MMXXII|kmrox|6y8dghklp|SHTORM|NURRI|GHOST|FF6OM6|blue|NX|BACKJOHN|OWN|FS23|2QZ3|top|blackrock|CHCRBO|G-STARS|unknown|STEEL|worry|WIN|duck|fopra|unique|acute|adage|make|Adair|MLF|magic|Adame|banhu|banjo|Banks|Banta|Barak|Caleb|Cales|Caley|calix|Calle|Calum|Calvo|deuce|Dever|devil|Devoe|Devon|Devos|dewar|eight|eject|eking|Elbie|elbow|elder|phobos|help|blend|bqux|com|mamba|KARLOS|DDoS|phoenix|PLUT|karma|bbc|CAPITAL|WALLET|LKS|tech|s1g2n3a4l|MURK|makop|ebaka|jook|LOGAN|FIASKO|GUCCI|decrypt|OOH|Non|grt|LIZARD|FLSCRYPT|SDK|2023|vhdv