后缀Phobos勒索病毒的分发
PHOBOS勒索病毒是一种破坏性的加密病毒,最近在针对全球计算机用户的***活动中发布。威胁行为者可能正在利用广泛使用的分发策略来感染计算机系统。
PHOBOS勒索病毒背后的恶意行为者可能使用的方法之一包括SPAM电子邮件消息的协调- 它们用于通过发送由受欢迎的Internet门户或目标可能提供的服务发送的合法通知的消息来传播威胁。使用。病毒文件可以直接附加或链接在正文中。它们也可以上传到伪造的下载站点,这些站点的设计与任何流行的Internet门户或供应商下载站点相似。恶意行为者可能会使用类似的声音域名,证书和被劫持的设计和内容来强迫受害者认为他们正在访问合法地址。
威胁可能传播的另一种方式是通过受感染的有效负载 - 使用受病毒代码感染的各种文件。一个流行的例子是可以采取任何形式的恶意文档:演示文稿,富文本文件,电子表格和数据库。一旦受害者打开它们,就会弹出一条通知消息,要求目标用户启用内置脚本。如果这样做,病毒感染将随之而来。另一种流行的技术是在应用程序安装程序中包含代码。它们是使用PHOBOS勒索软件代码修改的流行最终用户程序的合法安装文件的恶意副本。
勒索软件文件也通过虚假用户配置文件广泛传播- 他们可以发布到社区论坛或社交媒体帐户。犯罪分子可以利用假身份或被盗身份来增加受感染用户的数量。
在某些情况下,犯罪分子也可能通过恶意浏览器插件进行分发- 这些插件被广告宣传为最有用的网络浏览器。插件上传到官方存储库,并经常使用假的或被劫持的用户评论和开发人员凭证。一旦用户安装它们,它们将执行其内置指令,在许多情况下最终会导致PHOBOS勒索病毒感染。
Phobos勒索病毒的影响
为了能够发生令人讨厌的Phobos勒索病毒的感染,应该在系统上启动其有效负载。发生此事件的那一刻,系统上会遗留一堆恶意文件。这些文件可能位于某些主要系统文件夹中,包括%AppData%,%Temp%,%漫游%,%Common%和%System32%
在这些文件的帮助下,PHOBOS勒索软件会干扰基本系统组件的设置,因此它可以进入感染过程的数据加密阶段。与大多数检测和分析的勒索软件类似,PHOBOS可能会困扰系统注册表,使其能够在每次系统启动时自动加载并在***结束时显示其赎金票据。注册表子键Run和RunOnce被勒索软件污染后,通常会出现这种令人不快的问题。
在系统设置损坏之后,PHOBOS利用其内置的密码算法对目标文件进行编码,并将其标记为同名扩展名.PHOBOS。不幸的是,威胁可能会破坏经常用于存储有价值数据的所有文件:
档案
备份
数据库
图片
影片
音乐
正如我们所提到的,在***结束时,这个令人讨厌的勒索软件需要在屏幕上显示赎金消息。据报道,此消息的名称为Phobos.hta,其内容为:
请注意,赎金支付并不能保证恢复.PHOBOS文件。
删除Phobos 勒索病毒并恢复PC
请注意,向网络罪犯支付所要求的赎金费并不能真正解决您的Phobos加密病毒问题。事实上,你只是鼓励***继续传播这种勒索软件。相反,您必须立即删除威胁,然后才能寻找可选的方法来恢复数据。
手动删除Phobos勒索病毒需要熟悉系统文件和注册表。意外删除重要数据可能导致永久性系统损坏。如果您对手动说明感到不舒服,请下载功能强大的反恶意杀毒软件工具,该工具将扫描您的系统以查找恶意软件并为您安全地清理它。
Phobos勒索病毒 - 手动删除步骤
使用网络以安全模式启动PC
这将隔离勒索软件创建的所有文件和对象,以便有效地删除它们。以下步骤适用于所有Windows版本。
1.WIN键 + R.
2.将出现一个运行窗口。在其中,编写msconfig然后按Enter键
3.应出现配置框。在其中选择名为Boot的选项卡
4.标记安全启动选项,然后转到其下的网络以勾选它
5. 应用 - > 确定
显示隐藏文件
一些勒索软件威胁旨在隐藏其在Windows中的恶意文件,因此系统中存储的所有文件都应该是可见的。
1.打开我的电脑 / 此电脑
2. Windows 7
-点击 整理 按钮-选择 文件夹和搜索选项
-选择 查看 选项卡
-去下 隐藏的文件和文件夹 ,并标记 显示隐藏文件和文件夹 选项
3. Windows 8/10
- 打开 视图 选项卡- 标记 隐藏项目 选项
4.单击Apply,然后单击OK按钮
输入Windows任务管理器并停止恶意进程
1.按以下组合键:CTRL + SHIFT + ESC
2.接管流程
3.当您发现可疑进程时,右键单击它并选择“ 打开文件位置”
4.返回任务管理器并结束恶意进程。再次右键单击它并选择End Process
5.接下来,您应该转到恶意文件所在的文件夹并将其删除
修复Windows注册表
再次同时输入 WIN键 + R键组合
2.在框中,写下regedit并按Enter键
3.键入CTRL + F,然后在搜索类型字段中写入恶意名称以查找恶意可执行文件
4.如果您发现了与名称相关的注册表项和值,则应删除它们,但请注意不要删除合法密钥
如果不小心删除了系统的注册表相关的文件,请参阅如果修复Windows注册表
恢复加密文件
注意,在进行任何数据恢复尝试之前,应从受感染的PC中删除与 PHOBOS勒索软件病毒相关的所有文件和对象。否则,病毒可能会加密已恢复的文件。此外,强烈建议备份存储在外部媒体上的所有加密文件。
1.使用当前备份
2.使用专业的数据恢复软件
3.使用系统还原点
- 点击 WIN键- 选择“ 打开系统还原 ”并按照步骤操作
4.使用文件历史记录还原您的个人文件
- 点击 WIN键- 在搜索框中键入 还原文件
- 选择 使用文件历史记录还原文件
- 选择文件夹或在搜索栏中键入文件名称
- 点击“ 还原 ”按钮
预防性安全措施
启用并正确配置防火墙。
安装和维护可靠的反恶意软件。
保护您的Web浏览器。
定期检查可用的软件更新并应用它们。
禁用Office文档中的宏。
使用强密码。
除非您确定它们是安全的,否则请勿打开附件或点击链接。
定期备份您的数据。
转载于:https://blog.51cto.com/14131630/2338686