日本国家警方近日宣布，为受 Phobos 和 8Base 勒索软件攻击的受害者发布了一款免费解密工具，帮助他们在不支付赎金的情况下恢复重要文件。这一举措意味着自2019年以来，可能有成千上万的组织将能够利用这款工具，从而减轻勒索软件带来的巨大经济损失。

该款解密工具在网络上广泛分享，尤其是在欧洲刑警组织（Europol）与美国联邦调查局（FBI）的合作下得以发布。该工具能够恢复包括 .phobos、.8base、.elbie、.faust 和 .LIZARD 等多种文件扩展名格式的文件。虽有部分浏览器将其标记为恶意软件，但经过测试验证，该工具是安全且有效的。

警方在声明中警告用户，在使用解密工具前，一定要先通过可靠的反病毒软件清除感染的勒索软件，否则文件可能会重复被加密。此工具的发布显然是基于近期对相关犯罪团伙的打击所获得的情报。

Phobos 自2019年5月以来活跃，它的运营商使用了勒索软件即服务（RaaS）模式。经过调查，专家们发现Phobos 的多个变种之间存在明显的相似性，并将其关联到多起Phobos 入侵事件。它们利用了多种开源工具，如 Smokeloader、Cobalt Strike 和 Bloodhound，这些工具在不同操作环境中的可用性增强了 Phobos 的传播。

Phobos 勒索软件背后的攻击者利用网络钓鱼活动获取对脆弱网络的初始访问权限，并通过隐藏的有效载荷或网络协议（IP）扫描工具，如 Angry IP Scanner，搜索易受攻击的远程桌面协议（RDP）端口。2024年3月，美国网络安全和基础设施安全局（CISA）及 FBI 发布联合网络安全建议，警示有关 Phobos 变种的攻击情况，同时提到 Backmydata、Devos、Eight、Elking 和 Faust 等相关变种。

在2023年11月，Cisco Talos 的研究人员观察到 8Base 勒索软件的运营者在近期攻击中使用了 Phobos 的一种变种。可以看到，8Base 是 Phobos 的一个衍生产品，通过修改加密程序并使用双重敲诈手段（即加密和偷取数据以迫使支付赎金）而脱颖而出。研究人员报告称，从2023年5月至6月，该团伙的活动激增，尤其针对小型和中型企业进行攻击，该领域包括金融、制造、商业服务和信息技术等行业。

根据美国司法部的信息，一名涉嫌参与Phobos 操作的俄罗斯公民 Evgenii Ptitsyn 已于2024年11月被引渡至美国，面对相关的网络犯罪指控。报道称，Phobos 勒索软件的运营目标是超过1000个公共和私人实体，勒索金额超过1600万美元。Ptitsyn 涉嫌协助开发、销售和分发该勒索软件，并囚禁在暗网论坛上以化名如“derxan”和“zimmermanx”销售。

此外，与 Phobos 相关的网络调查导致了俄罗斯公民Roman Berezhnoy和Egor Glebov的逮捕，他们被指控使用 Phobos 勒索软件攻击全球超过1000个实体，收取超过1600万美元的赎金。这一系列事件显示，Phobos 运营商利用其设计上的灵活性和可扩展性，成功地运作了一个复杂的网络犯罪系统。

随着各国执法机关对网络犯罪活动的打击力度日益加大，受害者能够通过日本警方提供的免赎金解密工具而获得更好的保护。受影响组织的管理层和信息技术专家被鼓励利用此工具恢复被遗失的数据，同时避免向该勒索软件组织支付赎金。警方特别强调，在处理勒索软件事件时报告给当地和国际网络安全机构的重要性。

随着网络威胁的不断演变，此类协调的执法行动和可及资源如解密工具将为受勒索软件攻击的组织提供重要的帮助。尽管解密工具为受害者带来了一丝希望，但日本警方警告，解密工具不能保证所有解密文件的完整性，特别是当原始加密过程不足或文件在攻击后被修改的情况。

针对勒索软件的受害者而言，采取积极的应对措施至关重要。在未来，警惕网络安全威胁、及时实施漏洞修复以及建立健全的应急响应机制将是保护组织免受勒索软件侵害的关键步骤。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！