文章总结： 美国司法部于2026年3月4日宣布，俄罗斯籍Phobos勒索软件核心管理员EvgeniiPtitsyn在马里兰州法院认罪，该组织通过RaaS模式攻击超1000家机构，勒索金额超3900万美元。Solar应急响应团队基于国际执法机构缴获的私钥库开发了免费解密工具，支持faust、2700、Elbie等多个变种恢复，并建议政企单位收敛RDP暴露面、启用MFA、执行异地离线备份及加强钓鱼防范。 综合评分： 82 文章分类： 应急响应,勒索病毒,恶意软件,漏洞分析,安全工具

【热点新闻】勒索金额超三千万美元，俄罗斯籍Phobos勒索组织开发者在美国认罪

原创

solarsec solarsec

solar应急响应团队

2026年3月6日 14:24 山东

依托 Solar 安全运营响应团队的日常实战沉淀，我们会定期分享在安全运营中处置的典型应急响应事件，涵盖银狐木马、APT 攻击、勒索病毒等各类主流威胁。

作为专业的应急响应中心，Solar 致力于为复杂多变的安全事件提供从深度溯源到闭环处置的全流程支持。针对银狐、APT 等具有高隐蔽性的威胁，我们不仅聚焦于对其攻击行为的深度剖析，更致力于还原其完整的活动链路，并同步输出切实可行的清除闭环操作方案。

突发危机干预通道：若您的核心资产正面临加密锁定或数据勒索风险，请通过文末二维码联系我们。我们提供全天候紧急介入服务，协助您快速切断攻击链路，全力挽回业务损失。

前言

近日，美国司法部（DOJ）发布官方新闻稿，宣布Phobos勒索软件核心管理员Evgenii Ptitsyn正式在马里兰州地区法院认罪。这标志着这个常年活跃于全球、对公共和私营实体造成严重威胁的勒索组织遭到了实质性打击。

结合近期多国执法机构对该家族的联合清剿行动，Solar应急响应团队对本次事件的核心细节进行了梳理，并汇总了我们长期以来对Phobos家族的技术跟进、开发解密工具，为政企用户提供全面的防护与数据恢复指南。

事件始末与核心细节

根据美国马里兰州地区法院于2026年3月4日公布的官方文件，Phobos勒索软件管理员的认罪文书揭露了该组织庞大的黑色产业链。

核心信息提取如下：

• 认罪人员：Evgenii Ptitsyn（43岁，俄罗斯籍），在暗网中以“derxan”和“zimmermanx”等化名活动。
• 组织角色：负责Phobos勒索软件的销售、分发和核心运营，把控勒索软件即服务（RaaS）的底层密钥与分发网络。
• 涉案规模：Phobos勒索软件及其关联组织（如8Base）在全球范围内攻击了超过1000家公共和私营机构。
• 涉案金额：勒索赎金总额超过 3900万美元。
• 事件时间线：该嫌疑人于2024年11月从韩国被引渡至美国，经过漫长的司法程序，现已正式承认犯有电信诈骗共谋罪。

美国司法部（DOJ）于2026年3月4日发布的关于俄罗斯勒索软件管理员认罪的官方新闻稿

Phobos勒索家族进化之路与安全对抗

Phobos家族自2017年末进入大众视野，代码结构与Dharma（CrySis）有一定渊源。该组织一直采用 RaaS（勒索软件即服务）模式，通过RDP暴力破解和钓鱼邮件进行传播。近年来，它衍生出了多个活跃的变种分支，包括 2700、Elbie、Faust、8Base 等。

在长达数年的对抗中，国际执法机构取得了突破性进展。此前，日本警察厅（NPA）网络部门在FBI和欧洲刑警组织的配合下，通过捕获暗网中的勒索构建工具，并结合被捕管理员设备中的底层情报，成功收录并提取了该家族的底层密钥库。

在此背景下，Solar团队持续输出了对该家族演进过程的深度研究。我们在文章《从2017到2025，Phobos勒索家族的进化之路与最新恢复手段支持（文末附可恢复的后缀对应邮箱）》中，详细记录了其加密机制的迭代与解密可行性分析。

• 详细阅读可访问：从2017到2025，Phobos勒索家族的进化之路与最新恢复手段支持（文末附可恢复的后缀对应邮箱）

Solar应急响应团队的反击

面对Phobos家族持续演变的威胁态势，Solar应急响应团队不仅在情报跟进上保持敏锐，更在实战与工具开发上投入了大量资源。

1.深入底层的病毒变种分析

我们密切监控Phobos的每一次代码迭代，并输出了多份专业分析报告。针对其不同后缀变种的加密器特征、持久化方式以及运行逻辑，提供了清晰的画像：

• 【病毒分析】Phobos家族新变种 .SRC深度分析：揭示持续演变的勒索新威胁
• 【病毒分析】Phobos家族新变种 .SRC深度分析：揭示持续演变的勒索新威胁
• 【病毒分析】phobos家族Elbie变种加密器分析报告

这些技术报告详细拆解了Phobos如何利用AES-256和RSA-1024混合加密系统破坏企业数据。

2.开发恢复工具与免费解密支持

得益于国际执法机构联合行动中被缴获的底层私钥库，结合 Solar 团队对该家族核心加密逻辑的深度逆向，Solar团队整合并推出了[Solar团队] Phobos勒索病毒恢复工具V1.0。目前该工具已支持对多个活跃变种（如faust、2700、Elbie、Carver等）的免费解密。

| 后缀 | 邮箱 | | — | — | | faust | [email protected] | | faust | [email protected] | | 2700 | [email protected] | | Elbie | [email protected] | | jopanaxye | [email protected] | | faust | [email protected] | | Elbie | [email protected] | | Carver | [email protected] | | Carver | [email protected] |

Solar团队开发的Phobos勒索病毒恢复工具V1.0运行界面，支持单文件、目录及全盘恢复选项

获取方式：可访问 http://应急响应.com下载恢复工具。相关工具原理解读请阅读：【工具分享】Phobos勒索病毒恢复工具上线｜支持多变种免费解密

3.仿真排查演练

为了提升行业整体防御水平，Solar团队在2025年11月的应急响应月赛中，专门使用了真实Phobos-2700变种构建了仿真勒索排查环境（详见 《2025-11月Solar应急响应公益月赛排名及官方题解》、《应急响应|全网首发！变种勒索病毒仿真靶场：从排查到解密(附开源训练环境)》）。该环境侧重于“以人为本”的钓鱼邮件攻击溯源，帮助安全从业者在真实场景下磨炼排查技能。

• 获取相关样本与情报：目前Phobos勒索家族已被全面捕获，相关样本、扩展名及情报库，可访问 http://应急响应.com查询 phobos 关键字获取。

防护思路与总结建议

尽管Phobos的核心管理员已经认罪，且部分密钥已被提取，但勒索软件的生态依然庞大，分支变种的威胁不容忽视。我们建议政企单位从以下几个维度加强防护：

1.收敛核心暴露面：Phobos高度依赖RDP（远程桌面协议）的弱口令爆破进行突破。建议全面排查对外开放的端口，关闭非必要的3389端口，或通过VPN访问内部网络。

2.强制双因素认证（MFA）：对所有关键业务系统和远程访问通道启用MFA，阻断仅凭单点凭证即可突破的攻击路径。

3.异地与离线备份：遵循“3-2-1”备份原则，确保核心数据不仅有本地备份，还应具备物理隔离的离线备份，防止备份文件被同网段的勒索病毒一并加密。

4.钓鱼邮件防范演练：持续提升员工的安全意识，警惕携带恶意宏文档或伪装可执行文件的外部邮件。

勒索攻击发生后的每一分钟都至关重要。Solar 团队提供全天候的紧急介入服务，无论是现在的应急处置，还是未来的常态化防护，我们都随时待命。

参考来源：https://www.justice.gov/usao-md/pr/russian-ransomware-administrator-pleads-guilty-wire-fraud-conspiracy

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“Solar应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar应急响应团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar应急响应团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 Solar应急响应团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec solarsec《【热点新闻】勒索金额超三千万美元，俄罗斯籍Phobos勒索组织开发者在美国认罪》