與之前版本相比，Phobos勒索病毒變種在對加密勒索功能模塊偽裝、安全防護機制繞過及本地持久化等多方面都實現了升級。

1.“層層羊皮”包裹偽裝，加密勒索功能模塊行跡隱秘

當用戶下載執行在%userprofile%目錄下的exe文件，由powershell解密釋放落地后，會進一步從木馬服務器，下載用于文件加密的可執行程序zeVrk.exe等文件完成加密勒索行為。

pps.ps1解密exe文件數據并執行

該病毒首先利用計劃任務中的SilentCleanup繞過UAC，然后從木馬服務器獲取原始文件名為zeVrk.exe的木馬程序。該木馬程序會從資源段中提取并解密經過base64加密的名為“AndroidStudio.dll ”的dll數據，調用其導出函數StartGame()，進而繼續從dll的資源段提取加密的文件數據，然后將其解壓縮并異或解密，還原為負責加密勒索功能的exe文件數據，隨后加載該exe?！懊撓隆眱蓪淤Y源段解密并加載的“羊皮”偽裝后，該exe將完成實質上的文件加密操作。

zeVrk.exe解密資源段的AndroidStudio.dll文件數據，調用其導出函數StartGame()

AndroidStudio.dll!StartGame解壓縮解密并加載負責文件加密exe

2.“入室”竊取隱私數據，為潛在攻擊打下頭陣

一旦病毒變種入侵成功，其首先會在竊取目標電腦上CPU型號、聲卡顯卡等硬件信息，以及所屬國家、IP地址、安裝軟件等用戶信息后，將這些信息寫入“system.txt”文件；同時還會嘗試獲取本機賬戶密碼信息，并寫入“password.txt”文件；也同樣會將獲取到的當前屏幕截圖命名為“screenshot.jpg”。而后，其會將這三個文件打包為壓縮文件回傳木馬服務器并刪除本地的壓縮包文件，而這些被竊取的用戶信息很有可能為Phobos家族未來進一步的潛在攻擊打下頭陣。

system.txt中記錄的受害者電腦信息

壓縮包記錄受害者信息的各文件

3.花式繞過Windows Defender，無視安全防護機制壁壘

該病毒變種還會通過木馬服務器下載原始文件名為“
Disable-Windows-Defender.exe”的程序來禁用Windows Defender的各功能。其方式包括：修改注冊表關閉Windows Defender實時保護等功能，調用powershell執行“ Get-MpPreference -verbose”命令檢查當前的Windows Defender設置，并嘗試關閉指定的Windows Defender功能。

修改注冊表關閉Windows Defender功能

調用powershell關閉Windows Defender功能

4.“投機取巧”繞過UAC，大肆執行惡意行為

計劃任務中的SilentCleanup以普通用戶權限即可啟動，并且啟動后自動提升為高權限。該病毒變種根據這一特點，利用計劃任務中權限控制不嚴格的SilentCleanup來繞過用戶賬戶控制UAC。

病毒變種利用SilentCleanup繞過UAC

5. 多重備份保證本地持久化，三大策略防止文件被恢復

病毒會將負責文件加密任務的zeVrk.exe文件拷貝到%LocalAppData%、%temp%以及開機啟動Startup目錄中，并添加zeVrk.exe文件路徑到注冊表啟動項中，從而實現加密勒索的本地持久化，達到當用戶重啟計算機時再次掃描磁盤加密新文件的目的。

zeVrk.exe（原始文件名）所在目錄

病毒變種添加的注冊表啟動項

同時，為了防止加密文件的恢復，該病毒變種會通過以下命令來刪除磁盤卷影備份, 修改啟動策略以禁用 Windows啟動修復, 以及刪除windows server backup備份：

vssadmin delete shadows /all /quiet

wmic shadowcopy delete

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

總結

以上是生活随笔為你收集整理的多样加密功能全面升级细数猖獗作恶“五宗罪”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。