什么是Phobos勒索病毒?
Phobos是一种勒索软件类型的恶意程序,与该类型的大多数程序一样,它可以对存储的数据/锁文件进行加密,并将其保持在此状态,直到勒索赎金为止。Phobos通过添加“ .phobos”扩展名以及受害者的唯一ID和电子邮件地址来重命名所有加密文件。例如,“ 1.jpg”可能重命名为文件名,例如“ 1.jpg.ID-44447777”。[ email@email.com ] .phobos”或“1.jpg.ID-44447777。[ email@email.com ] .phobos”。分配的扩展名中显示的电子邮件有所不同。该病毒使用AES加密技术对数据进行加密,并在加密后生成HTML应用程序(“ Phobos.hta”)并将其打开。该应用程序显示一个包含赎金消息的弹出窗口。Phobos勒索病毒是如何传播感染的?
Phobos可以通过几种方式到达系统:通过端口3389上的开放或不安全的远程桌面协议(RDP)连接,强行使用的RDP凭据,使用被盗和购买的RDP凭据以及老式的网络钓鱼。Phobos操作员还可以利用恶意附件,下载,补丁利用和软件漏洞来访问组织的端点和网络。Phobos勒索软件主要针对企业。但是,也有一些报道表明消费者也发现自己与这个对手面对面。
如何保护自己免受Phobos勒索病毒感染?
我们建议消费者和IT管理员都采取以下措施来保护和缓解Phobos勒索软件攻击:设置Windows操作系统中内置的RDP服务器,以拒绝公用IP访问TCP端口3389(Windows远程桌面侦听的默认端口)。如果您或您的组织不需要RDP,则最好完全禁用该服务。关键系统或具有敏感信息的系统不应启用RDP。
除了阻止RDP端口,我们还建议阻止TCP端口445,这是服务器消息块(SMB)在网络范围内基于Windows的LAN中进行通信的默认端口。请注意,您或您的组织可能必须进行深入测试,才能了解此块如何影响您的系统和/或程序。根据经验,阻塞所有未使用的端口。
允许RDP访问您或组织控制下的IP。
启用RDP访问尝试的日志记录,并定期进行检查以检测潜在入侵的实例。
对Active Directory域和本地Windows帐户强制使用强密码和帐户锁定策略。
尽可能对RDP和本地帐户登录实施多因素身份验证(MFA)。
如果您的组织允许员工进行远程工作,则强制使用虚拟专用网络(VPN)。
提出并实施合理的备份策略。
维护系统上正在运行的服务和应用程序的清单,并定期进行检查。对于关键系统,最好有一个主动的监视和警报方案。
如果通过RDP成功违反,则应制定灾难恢复计划。
使您的所有软件(包括操作系统和反恶意软件)保持最新。
最后要说的是,如果您妥善锁定并保护了所有个人或组织资源,并且您或您的组织遵守了良好的网络卫生习惯,那么对于Phobos或任何勒索软件来说,几乎没有什么好担心的。
中了.Phobos文件后缀的勒索病毒文件怎么恢复?
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具2.如果文件急需,可以添加91数据恢复的服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。
预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!
联络方式:
客服热线:400-1050-918
技术顾问:13318844580
邮箱:91huifu@91huifu.com
微信公众号 
售前工程师1 
售前工程师2 
粤公网安备 44030502006563号