被phobos勒索病毒家族攻击之后有哪些典型症状？加密后缀有哪些？

　　被phobos勒索病毒家族攻击之后系统会有哪些典型症状呢?被加密的后缀又有哪些呢?今天，力创数据就来给大家分析phobos勒索病毒家族。我们首先来说说phobos勒索病毒家族的崛起时间，从去年初期开始，也就是2019年初期开始，Phobos勒索病毒家族在全球范围内流行，影响了多个行业，感染面积极大，变种更新尤其频繁，一时间风靡全球。说完phobos勒索病毒家族的崛起时间，我们来说说phobos勒索病毒的攻击方式，Phobos勒索病毒主要通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中，感染数量持续增长，通过端口3389上的开放或不安全的远程桌面协议(RDP)连接或强制使用的RDP凭证或使用被盗和购买的RDP凭证以，及老式的网络钓鱼， 还可以利用恶意附件、下载、补丁漏洞和软件漏洞访问组织的端点和网络。那么，被phobos勒索病毒家族攻击之后有哪些典型症状呢?我们一起来看看。

　　被phobos勒索病毒家族攻击之后典型症状一：显示赎金票据

　　受感染后，Phobos会以文本(.TXT)和可执行Web文件(.HTA)格式其受害者的目标设备上两个勒索票据。在Phobos完成文件加密后，赎金票据会自动打开。

　　被phobos勒索病毒家族攻击之后典型症状二：在加密文件的末尾附加一个复合扩展名

　　在扩展名后附加长字符串的加密文件，Phobos使用AES-256和RSA-1024非对称加密对目标文件进行加密。Phobos和Dharma实现了相同的RSA算法，然而，Phobos使用的是Windows Crypto API，而Dharma使用的是第三方静态库。在加密时，它在加密文件的末尾附加一个复合扩展名。

　　以下是Phobos使用的已知扩展的示例：

　　1500dollars actin Acton actor Acuff Acuna acute adage Adair Adame banhu banjo Banks Banta Barak bbc blend BORISHORSE bqux Caleb Cales Caley calix Calle Calum Calvo CAPITAL com DDoS deal deuce Dever devil Devoe Devon Devos dewar eight eject eking Elbie elbow elder Frendi help KARLOS karma mamba phobos phoenix PLUT WALLET zax

　　被phobos勒索病毒家族攻击之后典型症状三：终止进程

　　Phobos勒索病毒可以终止受影响系统上的以下活动进程，这意味着任何程序都无法阻止它访问文件并最终加密：

　　被phobos勒索病毒家族攻击之后典型症状四：删除影子副本和本地备份

　　与Sodinokibi和其他勒索病毒家族一样，Phobos删除了文件的影子副本和备份副本，以防止用户恢复加密文件，从而迫使他们执行威胁者的命令。

　　被phobos勒索病毒家族攻击之后典型症状五：系统没有在恢复模式下启动，恢复模式是Windows系统固有的

　　如果用户遇到导致系统崩溃或损坏的技术缺陷，他们可以选择通过重新加载漏洞之前的最后一个已知状态来恢复操作系统的正常状态，Phobos通过阻止用户进入这个模式来删除这个选项。

　　被phobos勒索病毒家族攻击之后典型症状六：禁用防火墙

　　众所周知，可以阻止防火墙，让恶意软件进入受影响的系统。

如有疑问，马上在线咨询 点击在线咨询