Dx31 勒索軟體是 Phobos 變種
在分析新的惡意檔案樣本時,我們將 Dx31 識別為屬於 Phobos 系列的勒索軟體。啟動後,Dx31 會加密數據,更改所有加密檔案的檔案名,並提供兩個勒索字條(“info.hta”和“info.txt”)。
Dx31 將受害者的 ID、電子郵件地址和「.dx31」副檔名新增至檔案名稱。例如,它將“1.jpg”轉換為“1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31”,將“2.png”轉換為“2.png.id[9ECFA84E -”第3449章].[dx31@mail.com].dx31”。
勒索字條遵循與勒索軟體攻擊相關的常見模式,通知受害者因電腦涉嫌安全問題而進行文件加密。該訊息指示受害者透過電子郵件 dx31@mail.com 聯繫攻擊者,並強調在電子郵件主題中包含特定 ID。
或者,如果 24 小時內沒有回复,則提供另一個電子郵件地址 (dx31@usa.com) 以便聯繫。有以比特幣支付文件解密的需求,但贖金金額未指定,取決於受害者的回應速度。
為了建立可信度,攻擊者提出免費解密最多 5 個文件,條件與文件大小和內容相關。該說明還提供了獲取比特幣的指導,並警告不要重命名加密檔案或使用第三方解密服務,以避免潛在的詐騙或增加贖金。
Dx31 勒索信全文
Dx31勒索信全文如下:
您的所有文件都已加密!
由於您的電腦有安全性問題,您的所有檔案均已加密。如果您想恢復它們,請發送電子郵件至 dx31@mail.com
將此 ID 寫在您的訊息標題中 -
如果 24 小時內沒有回复,請寫信至此電子郵件:dx31@usa.com
你必須用比特幣支付解密費用。價格取決於您寫信給我們的速度。付款後,我們將向您發送解密所有文件的工具。
免費解密為保障
付款前您可以向我們發送最多 5 個檔案以免費解密。檔案總大小必須小於 4Mb(非存檔),且檔案不應包含有價值的資訊。 (資料庫、備份、大型 Excel 工作表等)
如何獲得比特幣
購買比特幣最簡單的方法就是 LocalBitcoins 網站。您必須註冊,點擊“購買比特幣”,然後按付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您也可以在這裡找到其他購買比特幣的地方和初學者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力!
不要重新命名加密檔案。
請勿嘗試使用第三方軟體解密您的數據,這可能會導致永久資料遺失。
在第三方的幫助下解密您的文件可能會導致價格上漲(他們將其費用添加到我們的費用中),或者您可能會成為詐騙的受害者。
Phobos 勒索軟體變種家族是什麼?
Phobos 系列是一組勒索軟體變體,以其對受害者電腦上的檔案進行加密並要求贖金進行解密的惡意活動而聞名。以下是 Phobos 勒索軟體系列的主要特徵:
檔案加密:與其他勒索軟體變體一樣,Phobos 會對受害者係統上的檔案進行加密,使其無法存取。文件、圖像、影片等常見文件類型都是目標。
勒索字條:加密檔案後,Phobos 通常會在受害者的系統上留下勒索字條。這些註釋包含有關如何聯繫攻擊者的說明、有關贖金付款的詳細信息,有時還包括受害者的唯一 ID 或其他識別碼。
溝通管道: Phobos 通常透過勒索字條中提供的電子郵件地址建立溝通管道。受害者被指示聯繫這些電子郵件地址以協商付款並接收有關如何解密其文件的說明。
變體和演進: Phobos 系列可能有多種變體,或隨著時間的推移不斷演變,具有新的功能或策略。這些變體的核心功能可能相似,但在加密演算法、勒索訊息內容或分發方法方面可能有所不同。
以加密貨幣支付:與許多勒索軟體一樣,Phobos 通常要求以加密貨幣(通常是比特幣)支付。這是因為加密貨幣在金融交易過程中為攻擊者提供了一定程度的匿名性。
有針對性的攻擊: Phobos 攻擊可能不分皂白,影響個人、企業或組織。攻擊者可能會使用各種分發方法(例如網路釣魚電子郵件、漏洞工具包或軟體漏洞)來感染系統。
雙重勒索: Phobos 的某些版本與其他現代勒索軟體菌株一樣,採用雙重勒索策略。除了加密文件之外,攻擊者還可能威脅要洩露敏感訊息,除非支付贖金,這給受害者增加了另一層壓力。