Trojan-Ransom.Win32.Phobos

Вредоносные программы этого семейства распространяются через взломанные RDP-соединения. После запуска эти программы останавливают процессы из своего списка запрещенных процессов, удаляют теневые копии всех томов, ограничивают возможности восстановления Windows, удаляют резервные копии файлов и выключают сетевой экран. Затем они начинают процесс шифрования. Такие программы шифруют файлы c расширениями, перечисленными в большом списке. Этот лист включает в себя большое количество расширений пользовательских файлов, таких как документы, изображения и музыка. При помощи шифра AES шифруются файлы на всех логических дисках и в сетевых папках. Используемый AES-ключ уникален для каждого диска.