Dx31 勒索软件是 Phobos 变种

在分析新的恶意文件样本时，我们将 Dx31 识别为属于 Phobos 系列的勒索软件。激活后，Dx31 会加密数据，更改所有加密文件的文件名，并提供两个勒索字条（“info.hta”和“info.txt”）。

Dx31 将受害者的 ID、电子邮件地址和“.dx31”扩展名添加到文件名中。例如，它将“1.jpg”转换为“1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31”，将“2.png”转换为“2.png.id[9ECFA84E-”第3449章].[dx31@mail.com].dx31”。

勒索字条遵循与勒索软件攻击相关的常见模式，通知受害者由于计算机涉嫌安全问题而进行文件加密。该消息指示受害者通过电子邮件 dx31@mail.com 联系攻击者，并强调在电子邮件主题中包含特定 ID。

或者，如果 24 小时内没有回复，则提供另一个电子邮件地址 (dx31@usa.com) 以便联系。存在以比特币支付文件解密的需求，但赎金金额未指定，具体取决于受害者的响应速度。

为了建立可信度，攻击者提出免费解密最多 5 个文件，条件与文件大小和内容相关。该说明还提供了获取比特币的指导，并警告不要重命名加密文件或使用第三方解密服务，以避免潜在的诈骗或增加赎金。

Dx31 勒索信全文

Dx31勒索信全文如下：

您的所有文件都已加密！
由于您的电脑存在安全问题，您的所有文件均已加密。如果您想恢复它们，请发送电子邮件至 dx31@mail.com
将此 ID 写在您的消息标题中 -
如果 24 小时内没有回复，请写信至此电子邮件：dx31@usa.com
你必须用比特币支付解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。
免费解密为保障
付款前您可以向我们发送最多 5 个文件以免费解密。文件总大小必须小于 4Mb（非存档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）
如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后按付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在这里找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致永久数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们将其费用添加到我们的费用中），或者您可能成为诈骗的受害者。

Phobos 勒索软件变种家族是什么？

Phobos 系列是一组勒索软件变体，以其对受害者计算机上的文件进行加密并要求赎金进行解密的恶意活动而闻名。以下是 Phobos 勒索软件系列的主要特征：

文件加密：与其他勒索软件变体一样，Phobos 会对受害者系统上的文件进行加密，使其无法访问。文档、图像、视频等常见文件类型都是目标。

勒索字条：加密文件后，Phobos 通常会在受害者的系统上留下勒索字条。这些注释包含有关如何联系攻击者的说明、有关赎金付款的详细信息，有时还包括受害者的唯一 ID 或其他标识符。

沟通渠道： Phobos 通常通过勒索字条中提供的电子邮件地址建立沟通渠道。受害者被指示联系这些电子邮件地址协商付款并接收有关如何解密其文件的说明。

变体和演变： Phobos 系列可能有多种变体，或者随着时间的推移不断演变，具有新的功能或策略。这些变体的核心功能可能相似，但在加密算法、勒索信息内容或分发方法方面可能有所不同。

以加密货币支付：与许多勒索软件一样，Phobos 通常要求以加密货币（通常是比特币）支付。这是因为加密货币在金融交易过程中为攻击者提供了一定程度的匿名性。

有针对性的攻击： Phobos 攻击可能不分皂白，影响个人、企业或组织。攻击者可能会使用各种分发方法（例如网络钓鱼电子邮件、漏洞利用工具包或软件漏洞）来感染系统。

双重勒索： Phobos 的某些版本与其他现代勒索软件菌株一样，采用双重勒索策略。除了加密文件之外，攻击者还可能威胁要泄露敏感信息，除非支付赎金，这给受害者增加了另一层压力。