Phobos 勒索病毒样本分析

Phobos勒索病毒在近年来的热度不断上升，感染率不断提升，该病毒执行后会加密各种文件，并以zip.id[number].[hudsonL@cock.li].Devos命名。

下面对该家族样本进行分析，主要分析该病毒特征和行为。

勒索信：

!!!All?of?your?files?are?encrypted!!!
To?decrypt?them?send?e-mail?to?this?address:?hudsonL@cock.li.
If?you?have?not?received?a?response?within?24?hours,?write?to?us?at?Jabber:?helprecovery@gnu.gr

勒索图片：

一、CRC32进行校验

该样本开局使用CRC32算法检测样本完整性，该算法在病毒中多次使用。

二、对样本进行提权操作

判断样本权限，若没有权限，则进行提权操作。

三、使用AES进行消息解密

使用AES对密钥进行解密后，根据节表进行读取。

节表一区间为0xC，依次为索引、偏移、长度。

资源解密密钥如下：

00AAF128??87?8F?65?5E?1B?30?7D?E2?97?4B?8C?35?E4?46?B5?01??..e^.0}?.K.5?F?.
00AAF138??00?00?00?00?38?F1?F2?75?00?28?E3?00?18?F6?0F?01??....8?òu.(?..?..

资源解密向量如下：

00?00?00?00?00?00?00?00?00?00?00?00?00?00?00?00?

解密成功后部分：

四、网络通信

由于该样本未配置IP，故未产生网络连接

五、持久化驻留

在下列目录中对勒索病毒进行拷贝留存

C:\Users\86173\AppData\Local

C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup;

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

注册表中设置开机自启动项

Software\Microsoft\Windows\CurrentVersion\Run

六、创建线程终止占据文件的进程

拍摄进程快照，依次判断进程是否有文件占用。

尝试终止进程，尽可能加密更多文件。

七、对文件进行勒索加密

1、通过随机数生成密钥，包括获取进程pid、tid、获取运行时间，获取本地时间等

2、判断文件是否为空，若不为空，设置文件属性，根据文件大小加密文件。

总结：

样本通过采用CRC32校验+AES加解密进行制作勒索样本。

1. 进行CRC32校验

2. 判断是否提权，若未提权则进行提权的相关操作

3. AES解密相关消息，后面根据节表信息进行内容读取

4. 建立网络通信，发送连接请求

5. 持久化驻留，拷贝留存相关信息

6. 创建线程终止占据文件的进程

7. 随机创建加密密钥，对文件进行加密

由于使用作者公钥进行加密，故无私钥的情况下，AES暂时无法解密。

防范建议：

可以使用安装杀毒软件的方法进行防范。

该样本并未做太多对抗行为，特征明显，可以被传统杀软有效拦截。

C2：

33d32078ebe0c9429e405fdeb347dfb1ba5543e61d1179d13edffc7943b57640