Kmrox 勒索软件是 Phobos 家族成员

在检查新提交的文件样本时，我们的研究人员发现了 Phobos 勒索软件的另一种变体，称为 Kmrox。此类恶意软件属于勒索软件类别，旨在加密数据并要求为其解密付费。

在我们的测试系统上，Kmrox 对文件进行了编码并修改了它们的名称。原始文件名被扩展为与受害者相关的唯一标识、网络犯罪分子的电子邮件地址和“.kmrox”扩展名。例如，最初标记为“1.jpg”的文件显示为“1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox”等。随后，通过弹出窗口（“info.hta”）和文本文件（“info.txt”）生成勒索信息。

来自 Kmrox 的勒索消息指出，这些文件由于加密而无法访问。这些注释表明，恢复文件的唯一方法是从网络犯罪分子那里购买解密密钥和软件。需要以比特币加密货币的形式付款，尽管这些消息中没有提及确切的金额 - 它只是表明付款可能会受到建立联系的速度的影响。

受害者还可以选择免费解密测试（在特定参数内）。这些说明最后警告不要更改加密数据并寻求第三方帮助。

Kmrox 使用冗长的勒索信

Kmrox勒索信全文如下：

您的所有文件都已加密！

目前，除了向我们请求解密器和用于恢复所有数据的密钥之外，无法解密数据。
如果您想恢复它们，请通过电子邮件写信给我们：exezez@blaze420.it
将此 ID 写在您的消息标题中 -
如需快速便捷的反馈，请在 Telegram Messenger 中写信给在线操作员：@exezaz
（输入Telegram账户名时要小心，一定要和上面的完全一样，谨防假账户。）
此外，在某些邮件服务中，您的信件可能无法到达或进入垃圾邮件，因此为了增加收到快速回复的可能性，请将您的信件复制到我们的备用电子邮件地址：helze@cyberfear.com 和 exezaz@msgden.com
解密费用以比特币支付。为了了解价格，请写信给上述联系人。您越早联系我们，价格就越低。付款后，我们将向您发送一个可以解密您所有文件的工具。

免费解密为保障
付款前您可以向我们发送最多 3 个文件以免费解密。文件总大小必须小于 4Mb（非存档），并且文件不应包含有价值的信息。（数据库、备份、大型 Excel 工作表等）

如何获得比特币
您可以在任何方便的地方购买比特币，初学者指南在这里：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力！
为了获得解密文件的有保证的帮助，请仅联系本说明中列出的联系人，因为目前有很多骗子，
以他们可以解密您的数据为借口，通过我们请求免费解密，并将其作为他们可以解密您的文件的演示。
请记住，解密文件的密钥在每种情况下都是单独的，因此您将无法使用第三方软件自行解密文件，它只会损坏您的文件。
如果您想通过中介沟通，请提前与我们的运营商核对价格，因为中介往往会以实际价格为准。 !!!联系第三方时，
我们不保证您的文件的解密！
另外，为避免解密问题，请勿重命名文件。