后缀.Phobos勒索病毒解决方案，如何预防后缀.Phobos勒索病毒感染

发现于2018年12月，研究人员发现了一种名为扩展名.Phobos勒索病毒的新勒索软件变种，它似乎是Dharma和Crysis勒索病毒变种的组合。新的勒索软件变种的命名将激起那些喜欢希腊神话的人们的兴趣，因为Phobos是恐惧之神，他是阿瑞斯的儿子，也是恐怖之神Deimos的兄弟。有了这么强烈的名字，人们会问到这些恶意软件是否确实值得害怕。

在安全研究所发布的报告中，读者最初会发现最引人注目的是与多年来成功使用的Dharma勒索软件变体的相似之处。这些相似之处甚至使用与Dharma相同的攻击向量，即开放或安全性较差的RDP端口。利用不安全的RDP或远程桌面协议端口是黑客最喜欢的攻击方法。2018年9月，联邦调查局警告企业所有者保护这些港口，因为人们试图在网络中获得立足点，因此利用这种攻击媒介。一个这样的攻击活动是使用Crysis勒索软件的运动，这是与Phobos密切相关的堂兄。

一旦两者中的较新者感染计算机并使用.phobos扩展加密数据，就可以看到Phobos和Dharma之间的另一个惊人相似之处。两者都使用相同的赎金票据。在陈词滥调的经典案例中，“如果没有破坏就不要修理它”，赎金票据在字体和措辞上是相同的。这两个音符之间确实存在差异，尽管是一个次要音符，恶意软件作者用来区分Phobos和Dharma的标识已被添加到音符中。剪切和粘贴工作并没有结束，勒索软件背后的大部分代码是相同的。这有力地表明，Dharma和Crysis背后的人背后是最近针对全球企业的Phobos活动。

为了找到Phobos和Crysis之间的相似之处，需要进行更深入的挖掘。分析Phobos的研究人员发现，两者共享相同的反病毒检测模块。将Phobos与众不同的差异可能是次要的，即加密扩展和新标识，研究人员认为“显而易见的是，虽然勒索软件类型可能不同，但分发Phobos的组织，漏洞利用方法，赎金笔记和通信仍然是几乎与Dharma相同，“

Dharma家族系列帮派

Covewave的安全研究人员很快将Phobos归咎于Dharma背后的同一网络犯罪集团。如此快速指向手指是危险的，但很多事实很难争论。同样的研究人员认为，Phobos作为恶意活动的保险政策被分发，为攻击者提供第二种攻击选择，如果Dharma最终解密或阻止成功勒索受害者的赎金。

后缀.Phobos勒索病毒这种保险政策的想法并非没有价值。根据欧洲刑警组织2018年互联网有组织犯罪威胁评估报告，勒索软件仍然是组织面临的最大威胁，造成数百万美元的损失，并成为网络犯罪分子和民族国家攻击者的有力工具。在报告中，包括Crysis和Dharma在内的勒索软件家族被列为过去12个月对企业最具破坏性的家庭。报告还指出，攻击者不是将垃圾邮件活动转移到针对特定组织的高度针对性攻击。

欧洲刑警组织就勒索软件问题得出结论:

“即使勒索软件的增长开始放缓，勒索软件仍然在以财务为动机的恶意软件攻击中超越银行特洛伊木马，这一趋势预计将在接下来的几年中持续下去。除了受到经济动机的犯罪分子的攻击外，重要的公开报道也越来越多地将全球网络攻击归咎于民族国家的行为。移动恶意软件在2017年尚未得到广泛报道，但已被确定为私人和公共实体的预期未来威胁。“

对于一般的网络威胁:

“正如我们在其他网络攻击中看到的那样，随着犯罪分子变得越来越熟练，工具越来越复杂而且越容易获得，针对公民的攻击越来越少，对小型企业和更大的目标也越来越多，潜在的利润更大，”

如何预防Phobos感染

Dharma或Phobos勒索软件是否仍然是一个需要应对的主要威胁。不值得害怕Phobos或其他众多其他勒索软件家族，因为有很好的方法来防范所构成的威胁。组织保护其RDP端口并备份其数据非常重要。RDP已成为更好地管理Windows服务器的一种简单而重要的方法，这种便利确实需要付出代价。为了保护打开或不安全的RDP端口，管理员可以执行以下步骤：

• 使用强密码
• 确保软件已更新
• 使用防火墙限制访问
• 启用网络级别身份验证
• 限制可以使用远程桌面登录的用户  

管理员可以通过更改远程桌面的侦听端口来进一步提高其安全性。这将有助于防止黑客扫描网络以侦听默认远程桌面端口（TCP 3389）上的计算机。研究人员认为，利用RDP是黑客可以使用的更容易的攻击方法之一。鉴于上述证据，保护RDP端口变得越来越重要，因为即使是不成功的攻击也会造成损害并产生巨额费用。正如许多便捷技术一样，便利性的增加导致黑客和网络犯罪分子更愿意利用的安全性降低。