一個多產活躍的網絡犯罪團伙在發動一系列勒索軟件***的同時,傳播了一種可以加密文件的新型惡意軟件,這種軟件結合了兩種知名的破壞性強的變體,與勒索***一起被傳向全世界發揮作用。
新型惡意軟件被其創建者稱爲Phobos,它於12月首次出現,CoveWare的研究人員詳細介紹了它與Dharma勒索軟件的相似之處。
與Dharma一樣,Phobos利用開放或安全性較差的RDP端口潛入網絡內部並執行勒索***——加密文件後,要求受害者支付比特幣作爲贖金解鎖文件。
這一要求是在贖金通知中提出的——除了在贖金通知中加入了“Phobos”的標誌之外,它與Dhama所使用的票據完全相同(使用的字體和文本完全相同)。它不僅僅和Dhama共享的贖金文本信息,連軟件背後的許多代碼都是相同的,研究人員對此的描述是“Phobos很大程度上是達摩的剪切和粘貼變體”。
不過Phobos還包含CrySiS勒索軟件的元素,Phobos的殺毒軟件檢測結果爲CrySiS。勒索軟件的文件標記也將其與Dharma區分開來 ,但它們的***方法和產生的威脅仍然是相同的。
“儘管Phobos和Dharma勒索軟件類型有所差異,但傳播、利用、勒索票據和通信手段幾乎都相同。”研究人員寫道。
Phobos由Dharma背後的團伙傳播,它很可能是惡意***的保險措施,如果Dharma最終被解密或沒能成功,Phobos可以爲***者提供第二種***選擇。
目前,Dharma仍然是2018年最具破壞性的勒索軟件家族之一。但是,公司可以通過保護其RDP端口並定期備份其數據,從而儘可能避免受害,因此如果最糟糕的情況發生,則可以在不滿足網絡罪犯勒索需求的情況下恢復系統。