Phobos家族勒索病毒事件处置

近日，全球最大金矿、最大钼生产商、主要铜生产商自由港公司遭受网络攻击，部分系统被迫关闭，对生产造成了一定影响。近年来，恶意病毒程序对生产网络攻击已经逐渐成为常态，威努特技术工程师近几日接到某建材行业客户反馈，生产系统中了勒索病毒，导致DCS系统停止服务，全厂停工停产。威努特技术工程师第一时间指导客户做应急处理，后赶赴现场，协助客户恢复系统服务。

在协助客户将勒索病毒清理干净之后，应客户要求在中过勒索病毒的服务器上安装了威努特主机防勒索系统，到目前为止，所有系统服务器都没有再遭受过勒索病毒的侵扰，保证了系统的稳定运行。

将客户现场提取到的病毒样本，拷贝到安装有威努特防勒索系统的主机上，经过测试，威努特防勒索系统能够完美地防护Phobos勒索病毒，能够有效地避免勒索病毒对主机造成破坏。测试效果如下图所示：

图1 防勒索系统对Phobos勒索病毒的防护效果

臭名昭著的Phobos家族

经过分析，本次勒索病毒属于Phobos家族，Phobos勒索软件与臭名昭著的Dharma变种非常相似，该勒索病毒以其高度定制化的攻击方式和高额赎金要求而闻名，而且为了增加威胁的有效性，Phobos勒索病毒通常会使用社会工程学手段，如伪装成合法机构或发送具有诱人内容的电子邮件，以诱使用户点击恶意链接或打开感染文件。

到目前为止，很多的医院、软件供应商等等企业都遭受过Phobos的攻击，比较出名的有：美国阿拉巴马州的DCH Health System医疗机构遭到了Phobos勒索病毒的攻击，导致医院的电子系统被加密，患者数据和医疗记录无法访问；美国的律师事务所软件提供商TrialWorks遭到了Phobos勒索病毒的攻击，导致客户数据和案件文件被加密；德国IT服务提供商Citycomp遭到了Phobos勒索病毒的攻击，导致公司的文件和数据被加密。

Phobos勒索病毒在第一阶段会篡改主机设备的防火墙以及其他基础配置，禁用掉压缩功能和外设接口，给溯源和运维增加难度；而后会关闭主机的自动修复功能，同时删除卷影备份，防止主机通过本地备份进行数据恢复；第三阶段就开始对全部数据的遍历和加密，被加密的文件后缀改为evtx和devos，同时释放勒索信，告知需要缴纳赎金。

下面来看看Phobos勒索病毒家族是如何一步一步对系统造成破坏的以及威努特主机防勒索在不同阶段做出的对应的防御措施。

Phobos攻击链及应对防护措施

01

第一阶段：系统配置篡改

Phobos在进入到服务器系统之后，会首先使用第三方软件或工具来替代Windows操作系统自带的基础功能，然后对防火墙的配置进行更改，修改完配置后，主机自带的压缩功能和外接USB口皆不能使用。

图2 Phobo修改基础配置

勒索病毒潜在的恶意行为，体现在操作系统底层中为高危指令的关联调用，通过对系统API调用、进程操作、文件操作指令的监控，可发现潜在恶意行为，及时阻断以防止勒索病毒的进一步破坏。

图3 防勒索针对异常调用的阻断

威努特主机防勒索系统可以通过接管底层的驱动，保护系统进程和系统资源不受破坏。

02

第二阶段：系统资源清除

Phobos通过bcdedit命令行修改系统配置，使用wbadmin删除备份或配置以防止系统恢复，而且Phobos会关闭windows的自动修复功能，隐藏自己对系统的修改。

图4 Phobos删除备份

勒索病毒采用多种方式破坏系统资源，包括MBR加密、操作系统锁定、系统卷影备份删除等恶意行为。

威努特主机防勒索系统通过预置保护规则，避免勒索病毒对MBR引导区、操作系统账号、系统卷影备份等资源破坏。

图5 防勒索系统的系统防护

03

第三阶段：文件遍历加密

Phobos开始进行进行提权、遍历加密操作，并释放勒索信。

图6 Phobos提权

图7 Phobos遍历加密并发出勒索信

威努特主机防勒索系统能在Phobos进行遍历的时候，通过Phobos的典型行为，结合文件熵技术，同时实时监测Phobos的执行，同时生产动态诱饵给Phobos，当Phobos对诱饵文件进行加密时将被主机防勒索系统识别，精准识别处Phobos。进而保护系统不受勒索病毒破坏。

图8 防勒索系统诱捕功能

在加密过程中，Phobos会将后缀名改为evtx和devos，被加密的文件，被加密的文件打开后将会是一堆乱码：

图9 Phobo加密文件类型

图10 加密文后的乱码文档

威努特主机防勒索系统通过建立系统中应用与数据间的访问关系模型，阻断勒索软件对应用数据非法的读写删改，保护系统中文档、数据库、工程文件、音频、图像、视频、配置文件免遭勒索软件恶意加密。

图11 防勒索系统数据保护

一些误操作或者安全策略配置不当可能导致检测、防护能力被绕过，我们还需要备份恢复能力做技术兜底；

防勒索系统安装后，任何文件的操作均会触发防勒索的安全检查，可信应用文件操作放行，非可信应用文件操作将触发备份动作，在备份入库前，防勒索系统会检查入库数据的安全性，通过文件名、后缀名、信息熵、方差值完成文件是否被勒索加密的判断，基于此防勒索系统可识别被勒索加密的文件，已经被勒索加密的文件将直接丢弃，并对操作该文件的进程进行终止和隔离操作；被识别为正常的数据文件则经过放重复检查后进入备份区。

防勒索系统的备份机制并非是全盘备份，而是经过巧妙设计的按需触发，既可以实现勒索病毒的精准防范，又能确保最小的系统资源消耗。

图12 防勒索系统按需备份

主机防勒索系统通过全阶段防御，确保数据和文件在任一阶段都不会被勒索病毒所威胁。

小结

威努特主机防勒索系统从Phobos最开始的修改系统配置，到备份删除、再到系统遍历，加密，每一步都有应对的措施，所以，在Phobos刚刚进入到系统内部，准备开始一系列的操作的时候，已经有一对锐利的眼睛盯着它，一旦出现可疑操作，立马逮捕并隔离，并且就算让Phobo加密了几个文件，主机防勒索系统同样有数据的实时备份功能，对系统进行兜底，保证系统数据的安全性和完整性。

威努特主机防勒索系统通过对全球主流的勒索病毒分析出的攻击特点，预置保护规则、实时监测和诱饵技术，以及建立访问关系模型等多种防护措施，无论是Phobos还是其他勒索病毒，都能及时识别并采取相应的措施，保护系统数据的安全性和完整性，全面应对勒索病毒的攻击。在当前安全威胁不断增加的背景下，威努特主机防勒索系统为企业和个人提供了可靠的保护，在勒索病毒的确保数据和文件不会被勒索病毒所威胁。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：Phobos家族勒索病毒全方位防护实例