Ransomware Research

About Phobos

Phobos

Phobos was first discovered in January 2019 in enterprise cloud environments. Phobos is found in environments with a number of different names, including Phobos 2.0, Phobos NextGen, Phobos NotDharma, etc. For a full list of all names, please see below.

Name	Phobos
AKA	Phobos 2.0 Phobos NextGen Phobos NotDharma
First Seen	January 2019

Genealogy

To better understand Phobos, we can trace it’s origins. Below is a snapshot of Phobos’s genealogy.

CrySiS » Dharma » Phobos » Phobos NextGen

Targeting

Behavior of Phobos

Phobos is known to target specific file types. Below are all known file types that Phobos is known to infect.

In some cases, ransomware will update the modified date, when it encrypts files. Phobos updates the last modified date of the file it targets.

Learn More

Characteristics of Phobos

Here are some of the unique characteristics that are helpful to know about Phobos.

Suffixes

Some ransomware will change or append a suffix to the end of the file after they are encrypted, including changing the extension of a file. Here are some of the possible suffixes that Phobos ransomware is known to change.

Suffixes	.phobos, .Frendi, .phoenix, .actor, .mamba, .actin, .KARLOS, .help, .com, .Acton, .adage, .blend, .WALLET, .acute, .1500dollars, .Acuna, .Adame, .banjo, .BORISHORSE, .Banta, .BANKS, .Adair, .zax, .HORSELIKER, .Actin, .barak, .Barak, .Caley, .Caleb, .deal, .Cales, .calix, .elder, .octopus, .age, .deuce, .angus, .Calum, .Dever, .Devon, .devil, .Devos, .bablo, .dewar, .eight, .revon, .eject, .iso, .eking, .isos, .Acuff, .ELDAOSLA, .Antivirus, .DLL, .WIN, .PERDAK, .XIII, .Drik, .Elbie, .LOWPRICE, .MONETA, .BOOM, .Devos

Suffixes

.phobos, .Frendi, .phoenix, .actor, .mamba, .actin, .KARLOS, .help, .com, .Acton, .adage, .blend, .WALLET, .acute, .1500dollars, .Acuna, .Adame, .banjo, .BORISHORSE, .Banta, .BANKS, .Adair, .zax, .HORSELIKER, .Actin, .barak, .Barak, .Caley, .Caleb, .deal, .Cales, .calix, .elder, .octopus, .age, .deuce, .angus, .Calum, .Dever, .Devon, .devil, .Devos, .bablo, .dewar, .eight, .revon, .eject, .iso, .eking, .isos, .Acuff, .ELDAOSLA, .Antivirus, .DLL, .WIN, .PERDAK, .XIII, .Drik, .Elbie, .LOWPRICE, .MONETA, .BOOM, .Devos

Ransomware Notes

Not all ransomware leaves a note. However, some ransomware leaves the infected party instructions on what the user should do to get rid of the ransomware, or satisfy the ransom. This often involves transferring money, often bitcoin or another cryptocurrency to a designated wallet.

Below are the type(s) of notes, content, and typical locations where Elastio has found ransom notes from Phobos.

Type	file
File Name	Data.hta
Location

Type	file
File Name	Encrypted.txt
Location

Type	file
File Name	encrypted.txt
Location

Type	file
File Name	info.txt
Location	Desktop, RootDiscs

Type	file
File Name	info.hta
Location	Desktop, RootDiscs

Executables

These are the names of the executables that contain the undetonated ransomware payload for Phobos.

Executables	V.zip, phobos, file.exe, myfile.exe, dexec.exe, exec.exe, program.exe, Absonkaine.exe, ph_exec.exe, costelloh.exe, 2ph_decrypt.exe, software.exe, 2ph.exe, 2ph_exec.exe, ph_exec.bin, shaofao.exe, greencrypt_crypt.exe, 123.exe, 0t_2806_ph_exec_1cr13.exe, 1.exe, 1ph_exec.exe, executable.exe, Pp3, lsaa.exe, AppResolver, rfds354hfg45.exe, 1H41ZDD3.exe, phobos.exe, phobos.bin, Phobos.exe, Trojan.Ransom.Phobos.exe, Microsoft_Office_ExcelUpdate_KB3216755p.msi++, e.exe, yIV8ARvwUUZ6.exe, 2019-05-14 Phobos.exe, 1saas.bin, 1saas.exe, 1saas.exe12, antirecuvaanddb.exe, svhost.bin, svhost.exe, AntiRecuvaAndDB_.exe, zax.exe, rsfd234df.pe32, rsfd234df.exe, testing.exe, AntiRecuvaAndDB.exe, svchost.exe, huntress_eRV6KXMW.dll, 8KZM4TOR.exe, rdgf324dgf23.exe, QHLJG22Z.exe, E0VKEF63.exe, 41ZT0QX3.exe, dedolence.exe, somnambular.exe, UTAKGI.exe, rvckjhg.exe, XTO4MHH6.exe, rbvcvbne.exe, NCXWTUXX.exe, AntiRecuvaAndDB.ex_, 5.10.2019Taskmgr.exe, GASAS, GASAS.exe, gasas.pe32, semimonthly.exe, portholes.exe, rsdf54refsd.exe, 3A6K0YNM.exe, Fast.exe, a1.exe, bf04bba0511d99ab3353.pe32, 1sass.exe1, 1SASS.EXE.exe, 1sass.exe, AntiRecuvaAndDB.bin, 22.12.19Taskmngr.exe, 22.12.19taskmngr.exe.devon, test.exe, 3.2.20TASKMNGR.EXE.exe, out, 3.2.20taskmngr.exe1, 3.2.20taskmngr.exe, ACMD.exe, system.exe, 2.exe.v, Fast.exeXX.exe, Fast.exeXX, exec.exe.bak.exe, exec.exe.bak, fast.exe, cusersnextadminappdatalocalfast.exe, 2.exe, 3.exe, unS.exe, 626444.dat, winrar.exe, 375476.dat, 262375.dat, 416121.dat, 46522.dat, 378314.dat, 27098.dat, 497051.dat, 834619.dat, 1001478.dat, 654949.dat, 667376.dat, 344560.dat, db_exec.exe, db_exec.exe.old, ItFoV.exe, AntiRecuvaAndDB.ex_.exe, svchostBADSTARTUP.exe, KryP.exe, dsern.exe, 08.12.2019Taskmgr.exe, ucesal.exe, csrss.exe, 10.07.2019taskmgr.exe, 1500dollarsAntirecucaFullDB.exe

Executables

V.zip, phobos, file.exe, myfile.exe, dexec.exe, exec.exe, program.exe, Absonkaine.exe, ph_exec.exe, costelloh.exe, 2ph_decrypt.exe, software.exe, 2ph.exe, 2ph_exec.exe, ph_exec.bin, shaofao.exe, greencrypt_crypt.exe, 123.exe, 0t_2806_ph_exec_1cr13.exe, 1.exe, 1ph_exec.exe, executable.exe, Pp3, lsaa.exe, AppResolver, rfds354hfg45.exe, 1H41ZDD3.exe, phobos.exe, phobos.bin, Phobos.exe, Trojan.Ransom.Phobos.exe, Microsoft_Office_ExcelUpdate_KB3216755p.msi++, e.exe, yIV8ARvwUUZ6.exe, 2019-05-14 Phobos.exe, 1saas.bin, 1saas.exe, 1saas.exe12, antirecuvaanddb.exe, svhost.bin, svhost.exe, AntiRecuvaAndDB_.exe, zax.exe, rsfd234df.pe32, rsfd234df.exe, testing.exe, AntiRecuvaAndDB.exe, svchost.exe, huntress_eRV6KXMW.dll, 8KZM4TOR.exe, rdgf324dgf23.exe, QHLJG22Z.exe, E0VKEF63.exe, 41ZT0QX3.exe, dedolence.exe, somnambular.exe, UTAKGI.exe, rvckjhg.exe, XTO4MHH6.exe, rbvcvbne.exe, NCXWTUXX.exe, AntiRecuvaAndDB.ex_, 5.10.2019Taskmgr.exe, GASAS, GASAS.exe, gasas.pe32, semimonthly.exe, portholes.exe, rsdf54refsd.exe, 3A6K0YNM.exe, Fast.exe, a1.exe, bf04bba0511d99ab3353.pe32, 1sass.exe1, 1SASS.EXE.exe, 1sass.exe, AntiRecuvaAndDB.bin, 22.12.19Taskmngr.exe, 22.12.19taskmngr.exe.devon, test.exe, 3.2.20TASKMNGR.EXE.exe, out, 3.2.20taskmngr.exe1, 3.2.20taskmngr.exe, ACMD.exe, system.exe, 2.exe.v, Fast.exeXX.exe, Fast.exeXX, exec.exe.bak.exe, exec.exe.bak, fast.exe, cusersnextadminappdatalocalfast.exe, 2.exe, 3.exe, unS.exe, 626444.dat, winrar.exe, 375476.dat, 262375.dat, 416121.dat, 46522.dat, 378314.dat, 27098.dat, 497051.dat, 834619.dat, 1001478.dat, 654949.dat, 667376.dat, 344560.dat, db_exec.exe, db_exec.exe.old, ItFoV.exe, AntiRecuvaAndDB.ex_.exe, svchostBADSTARTUP.exe, KryP.exe, dsern.exe, 08.12.2019Taskmgr.exe, ucesal.exe, csrss.exe, 10.07.2019taskmgr.exe, 1500dollarsAntirecucaFullDB.exe

External Pages

Ransomware often links to external pages such as payment pages, telegram contacts, etc. Below are some of the URLs Elastio has found to be associated with Phobos.

External Pages	http://kcxb2moqaw76xrhv.onion mailto:ottozimmerman@protonmail.ch mailto:job2019@tutanota.com mailto:bad_boy700@aol.com mailto:cadillac.407@aol.com mailto:everest_2010@aol.com mailto:raphaeldupon@aol.com mailto:shadow1779@tutanota.com mailto:goodbooom@cock.li mailto:paper_plane1@aol.com mailto:barcelona_100@aol.com mailto:elizabethz7cu1jones@aol.com mailto:beltoro905073@aol.com mailto:gomer_simpson2@aol.com mailto:ofizducwell1988@aol.com mailto:fobosamerika@protonmail.ch jabber:phobos_helper@xmpp.jp jabber:phobos_helper@exploit.im mailto:phobos.encrypt@qq.com mailto:pixell@tutanota.com mailto:elizabeth67bysthompson@aol.com mailto:pixell@cock.li mailto:tlalipidas1978@aol.com mailto:cercisori1979@aol.com mailto:posiccimen1982@aol.com mailto:prejimzalma1972@aol.com mailto:taverptintra1985@aol.com mailto:withdirimugh1982@aol.com mailto:hidebak@protonmail.com mailto:stanodexne1982@aol.com mailto:waitheisenberg@xmpp.jp mailto:tedmundboardus@aol.com mailto:tylecotebenji@aol.com mailto:phobos_helpper@xmpp.jp mailto:decryptfiles@420blaze.it mailto:decryptfiles@cock.lu mailto:absonkaine@aol.com mailto:klemens.stobe@aol.com mailto:autrey.b@aol.com mailto:alphonsepercy@aol.com mailto:park.jehu@aol.com mailto:kylenoble726@aol.com mailto:phobosrecovery@cock.li mailto:phobosrecovery@tutanota.com mailto:darillkay@aol.com mailto:abbott_wearing@aol.com mailto:thorpe.grand@aol.com mailto:luciolussenhoff@aol.com mailto:grattan.l@aol.com mailto:costelloh@aol.com mailto:carmichael.lion@aol.com mailto:returnmefiles@aol.com mailto:night_illusion@aol.com mailto:cello_dodds@aol.com mailto:hickeyblair@aol.com mailto:com-gloria@tutanota.com mailto:com-gloria@protonmail.com mailto:nichols_l@aol.com mailto:fileb@protonmail.com mailto:back7@protonmail.ch mailto:key07@qq.com mailto:kew07@qq.com mailto:helpyourdata@qq.com mailto:ramsey_frederick@aol.com mailto:lofutesdogg1983@aol.com mailto:karlosdecrypt@outlook.com mailto:gabbiemciveen@aol.com mailto:christosblee@aol.com mailto:randal_inman@aol.com mailto:gherardobaxter@aol.com mailto:upfileme@protonmail.com mailto:donovantudor@aol.com mailto:simonsbarth@aol.com mailto:thedecrypt111@qq.com mailto:walletwix@aol.com mailto:ban.out@foxmail.com mailto:datadecryption@countermail.com mailto:leeming.derick@aol.com mailto:helpteam38@protonmail.com mailto:danger@countermail.com mailto:kidd_2019@protonmail.com mailto:wewillhelpyou@qq.com mailto:walletdata@hotmail.com mailto:hartpole.danie@aol.com mailto:lockhelp@qq.com mailto:lockhelp@xmpp.jp mailto:batecaddric@aol.com mailto:burnofin@hotmail.com mailto:cleverhorse@protonmail.com mailto:greg.philipson@aol.com mailto:hadleeshelton@aol.com mailto:fileisafe@tuta.io mailto:keta990@protonmail.com mailto:the777@tuta.io mailto:supportcrypt2019@cock.li mailto:supportcrypt2019@protonmail.com mailto:zoye1596@msgden.net mailto:zoye596@protonmail.com mailto:b.morningtonjones@aol.com mailto:dennet.smellie@aol.com mailto:quantroei@protonmail.com mailto:sailormorgan@protonmail.com mailto:irvinclarke@aol.com mailto:crysall.g@aol.com mailto:raynorzlol@tutanota.com mailto:raynorzlol@protonmail.com mailto:raynorzlol@thesecure.biz mailto:2172998725@qq.com mailto:friends2019@protonmail.com mailto:lachneyorlachb@aol.com mailto:worldofdonkeys@protonmail.com mailto:worldofdonkeys@xmpp.jp mailto:beautydonkey@xmpp.jp mailto:larabita@cock.li mailto:member987@tutanota.com mailto:member987@cock.li mailto:tirrelllipps@aol.com mailto:back_ins@protonmail.ch mailto:plombiren@qq.com mailto:bbbitcrypt@tutanota.com mailto:bbitcrypt@protonmail.com mailto:decrypt@files.mn mailto:limboshuran@cock.li mailto:decryptbox@airmail.cc mailto:repairfiles@foxmail.com mailto:files2@protonmail.com mailto:zax444@qq.com mailto:zax4444@qq.com mailto:recovermyfiles2019@thesecure.biz mailto:horsesecret@xmpp.jp mailto:kalle.tomlin@aol.com mailto:tirrellipps@aol.com mailto:captainpilot@cock.li mailto:onlyfiles@aol.com mailto:britt.looper@aol.com mailto:stuart.wittie@aol.com mailto:datarest0re@aol.com mailto:decriptionsupport911@airmail.cc mailto:washapen@cock.li mailto:restorebackup@qq.com mailto:veritablebee@protonmail.ch mailto:viadolorosa@tuta.io mailto:funnyredfox@aol.com mailto:lewisswaffield.a@aol.com mailto:xxxnxxx@cock.li mailto:hanesworth.fabian@aol.com mailto:ciaprepoulep1977@aol.com mailto:bowen.bord@aol.com mailto:recoveryfast@airmail.cc mailto:painplain98@protonmail.com mailto:patern32@protonmail.com mailto:unlockfiles@qq.com mailto:checkcheck07@qq.com mailto:kickclakus@protonmail.com mailto:kickclak@cock.li mailto:relvirosa1981@aol.com mailto:cleverhorse@ctemplar.com jabber:cleverhorse@xmpp.jp mailto:theonlyoption@qq.com mailto:debourbonvincenz@aol.com mailto:cosmecollings@aol.com jabber:phobos_healper@xmpp.jp mailto:stocklock@airmail.cc mailto:restoringbackup@airmail.cc mailto:berne.fiddell@aol.com mailto:gruzudo@cock.li mailto:harlin_marten@aol.com mailto:octopusdoc@mail.ee mailto:octopusdoc@airmail.cc mailto:agent5305@firemail.cc mailto:decrypt2020@aol.com mailto:kenny.sarginson@aol.com mailto:francispilmoor@aol.com mailto:keysfordecryption@airmail.cc mailto:keysfordecryption@jabb3r.org mailto:admincrypt@protonmail.com mailto:prndssdnrp@mail.fr mailto:bexonvelia@aol.com mailto:maitlandtiffaney@aol.com mailto:topot@cock.li mailto:decryptfiles@qq.com mailto:decryptfiles@hot-chilli.eu mailto:decrypt4data@protonmail.com mailto:lucky_top@protonmail.com mailto:apoyo2019@protonmail.com mailto:saveyourfiles@qq.com mailto:paybtc@sj.ms mailto:jabberpaybtc@sj.ms mailto:ofizducwe111988@aol.com mailto:kabennalzly@aol.com mailto:flexney.pail@aol.com mailto:anamciveen@aol.com mailto:dominga.k@aol.com mailto:chagenak@airmail.cc mailto:mr.helper@qq.com mailto:kokux@tutanota.com jabber:decrypt_here@xmpp.jp mailto:mr.helper@jabb3r.de mailto:kokux@tutanota.corn mailto:jewkeswilmer@aol.com mailto:squadhack@email.tg mailto:online24decrypt@airmail.cc mailto:danianci@airmail.cc mailto:youcanwrite24h@airmail.cc mailto:patiscaje@airmail.cc mailto:helprecover@foxmail.com mailto:recoverhelp2020@thesecure.biz mailto:sverdlink@aol.com mailto:dessert_guimauve@aol.com mailto:2183313275@qq.com mailto:werichbin@protonmail.com mailto:werichbin@cock.li mailto:wang_team777@aol.com mailto:wang_team999@aol.com mailto:cynthia-it@protonmail.com mailto:leonardo@cock.lu mailto:backup.iso@aol.com mailto:deltatechit@protonmail.com mailto:deltatech@tuta.io mailto:mccreight.ellery@tutanota.com mailto:2020x0@protonmail.com mailto:2020x@cock.lu mailto:verious1@cock.li mailto:filesreturn@cock.li mailto:decphob@tuta.io mailto:decphob@protonmail.com mailto:mecybaki@firemail.cc mailto:naqohiky@firemail.cc mailto:ezequielanthon@aol.com mailto:robinhood@countermail.com mailto:eccentric_inventor@aol.com mailto:noyes.brice@aol.com mailto:merlinwebster@aol.com mailto:sookie.stackhouse@gmx.com mailto:chinadecrypt@fasthelpassia.com mailto:savemyself1@tutanota.com mailto:crioso@protonmail.com mailto:wiruxa@airmail.cc mailto:yongloun@tutanota.com mailto:anygrishevich@yandex.ru mailto:simplesup@cock.li mailto:helpisos@aol.com mailto:davidshelper@protonmail.com mailto:simplesup@tutanota.com mailto:subik099@tutanota.com jabber:helpforfiles@xmpp.es mailto:qirapoo@firemail.cc mailto:dozusopo@tutanota.com mailto:unlockfiles2021@cock.li mailto:spacexhuman@tutanota.com mailto:spacexhuman@protonmail.com mailto:spacexhuman@jabb.im mailto:bernard.bunyan@aol.com mailto:saveisos@aol.com mailto:devos@countermail.com mailto:files@restore.ws mailto:unlockfile@firemail.cc mailto:kxxe@airmail.cc mailto:guxehys@mailfence.com mailto:sparem@kolabnow.com mailto:raypas@goat.si mailto:save2020@qq.com mailto:xizers@airmail.cc mailto:jackkarter@gmx.com mailto:jackkarter@cock.li mailto:sacura889@tutanota.com mailto:recoverycode@protonmail.com mailto:pyyring23@protonmail.com mailto:fastway@tuta.io mailto:miadowson@tuta.io mailto:unlocker@criptext.com mailto:virtualhorse1@protonmail.com mailto:serhio.vale@tutanota.com mailto:use_harrd@protonmail.com mailto:usehhard@cock.li mailto:victorlustig@gmx.com mailto:elfbash@protonmil.com mailto:helpyoubus11@tutanota.com mailto:helpyourdesk11@protonmail.com mailto:xgen@tuta.io mailto:zgen@tuta.io mailto:deparisko@secmail.pro mailto:deparisko@dnmx.org mailto:gener888@tutanota.com mailto:sacura1716@cock.li mailto:starcomp@keemail.me mailto:xdone@tutamail.com mailto:starcomp@jabb.im mailto:xlll@imap.cc mailto:jackrasal@privatemail.com mailto:bambam988@tutanota.com mailto:jiminok31@cock.li mailto:restore1_helper@gmx.de mailto:restore2_helper@mein.gmx mailto:eddyayman@gmail.comот mailto:kylenoble726@aol.comот mailto:asdqzx51@gmail.com mailto:xioxian@onionmail.org icq:@fartwetsquirrel icq:KONSKAPISA icq:Sophos icq:@Monetadicavallo icq:@SAFEPLACE icq:@VIRTUALHORSE icq:@HORSEMONEY icq:@Mudakperdak bitmessage:BM-2cVoXfF2BdYyfxBrady3hopZN6izutPyEr telegram:@hpdec telegram:@iso_recovery telegram:@SimpleSup telegram:@zahxet telegram:@krasume telegram:@santatop mailto:symetrikk@protonmail.com mailto:symetrikk@aol.com mailto:willi.stroud@aol.com mailto:excentrique_inventeur@aol.com mailto:zsebas@airmail.cc mailto:robud@ctemplar.com mailto:robud@outlookpro.net mailto:kryzikrut@airmail.cc jabber:youcanwrite24h@jabb3r.de mailto:ifirsthelperforunlockyourfiles@privatemail.com mailto:isecondhelperforunlockyourfiles@airmail.cc mailto:boomblack@tutanota.com mailto:boomblack@cock.li mailto:b.wilek@aol.com mailto:tr_2020@protonmail.com mailto:terrypr2020@yandex.com mailto:ransomwaree2020@cock.li mailto:ransomwaree2021@cock.li telegram:@Resp0nse mailto:decryptionsupport911@airmail.cc session:05192bf5c22b1a71ba759efb3b1192412e886f348229f6e59bd6caafbb8e374a1a

External Pages

http://kcxb2moqaw76xrhv.onion
mailto:ottozimmerman@protonmail.ch
mailto:job2019@tutanota.com
mailto:bad_boy700@aol.com
mailto:cadillac.407@aol.com
mailto:everest_2010@aol.com
mailto:raphaeldupon@aol.com
mailto:shadow1779@tutanota.com
mailto:goodbooom@cock.li
mailto:paper_plane1@aol.com
mailto:barcelona_100@aol.com
mailto:elizabethz7cu1jones@aol.com
mailto:beltoro905073@aol.com
mailto:gomer_simpson2@aol.com
mailto:ofizducwell1988@aol.com
mailto:fobosamerika@protonmail.ch
jabber:phobos_helper@xmpp.jp
jabber:phobos_helper@exploit.im
mailto:phobos.encrypt@qq.com
mailto:pixell@tutanota.com
mailto:elizabeth67bysthompson@aol.com
mailto:pixell@cock.li
mailto:tlalipidas1978@aol.com
mailto:cercisori1979@aol.com
mailto:posiccimen1982@aol.com
mailto:prejimzalma1972@aol.com
mailto:taverptintra1985@aol.com
mailto:withdirimugh1982@aol.com
mailto:hidebak@protonmail.com
mailto:stanodexne1982@aol.com
mailto:waitheisenberg@xmpp.jp
mailto:tedmundboardus@aol.com
mailto:tylecotebenji@aol.com
mailto:phobos_helpper@xmpp.jp
mailto:decryptfiles@420blaze.it
mailto:decryptfiles@cock.lu
mailto:absonkaine@aol.com
mailto:klemens.stobe@aol.com
mailto:autrey.b@aol.com
mailto:alphonsepercy@aol.com
mailto:park.jehu@aol.com
mailto:kylenoble726@aol.com
mailto:phobosrecovery@cock.li
mailto:phobosrecovery@tutanota.com
mailto:darillkay@aol.com
mailto:abbott_wearing@aol.com
mailto:thorpe.grand@aol.com
mailto:luciolussenhoff@aol.com
mailto:grattan.l@aol.com
mailto:costelloh@aol.com
mailto:carmichael.lion@aol.com
mailto:returnmefiles@aol.com
mailto:night_illusion@aol.com
mailto:cello_dodds@aol.com
mailto:hickeyblair@aol.com
mailto:com-gloria@tutanota.com
mailto:com-gloria@protonmail.com
mailto:nichols_l@aol.com
mailto:fileb@protonmail.com
mailto:back7@protonmail.ch
mailto:key07@qq.com
mailto:kew07@qq.com
mailto:helpyourdata@qq.com
mailto:ramsey_frederick@aol.com
mailto:lofutesdogg1983@aol.com
mailto:karlosdecrypt@outlook.com
mailto:gabbiemciveen@aol.com
mailto:christosblee@aol.com
mailto:randal_inman@aol.com
mailto:gherardobaxter@aol.com
mailto:upfileme@protonmail.com
mailto:donovantudor@aol.com
mailto:simonsbarth@aol.com
mailto:thedecrypt111@qq.com
mailto:walletwix@aol.com
mailto:ban.out@foxmail.com
mailto:datadecryption@countermail.com
mailto:leeming.derick@aol.com
mailto:helpteam38@protonmail.com
mailto:danger@countermail.com
mailto:kidd_2019@protonmail.com
mailto:wewillhelpyou@qq.com
mailto:walletdata@hotmail.com
mailto:hartpole.danie@aol.com
mailto:lockhelp@qq.com
mailto:lockhelp@xmpp.jp
mailto:batecaddric@aol.com
mailto:burnofin@hotmail.com
mailto:cleverhorse@protonmail.com
mailto:greg.philipson@aol.com
mailto:hadleeshelton@aol.com
mailto:fileisafe@tuta.io
mailto:keta990@protonmail.com
mailto:the777@tuta.io
mailto:supportcrypt2019@cock.li
mailto:supportcrypt2019@protonmail.com
mailto:zoye1596@msgden.net
mailto:zoye596@protonmail.com
mailto:b.morningtonjones@aol.com
mailto:dennet.smellie@aol.com
mailto:quantroei@protonmail.com
mailto:sailormorgan@protonmail.com
mailto:irvinclarke@aol.com
mailto:crysall.g@aol.com
mailto:raynorzlol@tutanota.com
mailto:raynorzlol@protonmail.com
mailto:raynorzlol@thesecure.biz
mailto:2172998725@qq.com
mailto:friends2019@protonmail.com
mailto:lachneyorlachb@aol.com
mailto:worldofdonkeys@protonmail.com
mailto:worldofdonkeys@xmpp.jp
mailto:beautydonkey@xmpp.jp
mailto:larabita@cock.li
mailto:member987@tutanota.com
mailto:member987@cock.li
mailto:tirrelllipps@aol.com
mailto:back_ins@protonmail.ch
mailto:plombiren@qq.com
mailto:bbbitcrypt@tutanota.com
mailto:bbitcrypt@protonmail.com
mailto:decrypt@files.mn
mailto:limboshuran@cock.li
mailto:decryptbox@airmail.cc
mailto:repairfiles@foxmail.com
mailto:files2@protonmail.com
mailto:zax444@qq.com
mailto:zax4444@qq.com
mailto:recovermyfiles2019@thesecure.biz
mailto:horsesecret@xmpp.jp
mailto:kalle.tomlin@aol.com
mailto:tirrellipps@aol.com
mailto:captainpilot@cock.li
mailto:onlyfiles@aol.com
mailto:britt.looper@aol.com
mailto:stuart.wittie@aol.com
mailto:datarest0re@aol.com
mailto:decriptionsupport911@airmail.cc
mailto:washapen@cock.li
mailto:restorebackup@qq.com
mailto:veritablebee@protonmail.ch
mailto:viadolorosa@tuta.io
mailto:funnyredfox@aol.com
mailto:lewisswaffield.a@aol.com
mailto:xxxnxxx@cock.li
mailto:hanesworth.fabian@aol.com
mailto:ciaprepoulep1977@aol.com
mailto:bowen.bord@aol.com
mailto:recoveryfast@airmail.cc
mailto:painplain98@protonmail.com
mailto:patern32@protonmail.com
mailto:unlockfiles@qq.com
mailto:checkcheck07@qq.com
mailto:kickclakus@protonmail.com
mailto:kickclak@cock.li
mailto:relvirosa1981@aol.com
mailto:cleverhorse@ctemplar.com
jabber:cleverhorse@xmpp.jp
mailto:theonlyoption@qq.com
mailto:debourbonvincenz@aol.com
mailto:cosmecollings@aol.com
jabber:phobos_healper@xmpp.jp
mailto:stocklock@airmail.cc
mailto:restoringbackup@airmail.cc
mailto:berne.fiddell@aol.com
mailto:gruzudo@cock.li
mailto:harlin_marten@aol.com
mailto:octopusdoc@mail.ee
mailto:octopusdoc@airmail.cc
mailto:agent5305@firemail.cc
mailto:decrypt2020@aol.com
mailto:kenny.sarginson@aol.com
mailto:francispilmoor@aol.com
mailto:keysfordecryption@airmail.cc
mailto:keysfordecryption@jabb3r.org
mailto:admincrypt@protonmail.com
mailto:prndssdnrp@mail.fr
mailto:bexonvelia@aol.com
mailto:maitlandtiffaney@aol.com
mailto:topot@cock.li
mailto:decryptfiles@qq.com
mailto:decryptfiles@hot-chilli.eu
mailto:decrypt4data@protonmail.com
mailto:lucky_top@protonmail.com
mailto:apoyo2019@protonmail.com
mailto:saveyourfiles@qq.com
mailto:paybtc@sj.ms
mailto:jabberpaybtc@sj.ms
mailto:ofizducwe111988@aol.com
mailto:kabennalzly@aol.com
mailto:flexney.pail@aol.com
mailto:anamciveen@aol.com
mailto:dominga.k@aol.com
mailto:chagenak@airmail.cc
mailto:mr.helper@qq.com
mailto:kokux@tutanota.com
jabber:decrypt_here@xmpp.jp
mailto:mr.helper@jabb3r.de
mailto:kokux@tutanota.corn
mailto:jewkeswilmer@aol.com
mailto:squadhack@email.tg
mailto:online24decrypt@airmail.cc
mailto:danianci@airmail.cc
mailto:youcanwrite24h@airmail.cc
mailto:patiscaje@airmail.cc
mailto:helprecover@foxmail.com
mailto:recoverhelp2020@thesecure.biz
mailto:sverdlink@aol.com
mailto:dessert_guimauve@aol.com
mailto:2183313275@qq.com
mailto:werichbin@protonmail.com
mailto:werichbin@cock.li
mailto:wang_team777@aol.com
mailto:wang_team999@aol.com
mailto:cynthia-it@protonmail.com
mailto:leonardo@cock.lu
mailto:backup.iso@aol.com
mailto:deltatechit@protonmail.com
mailto:deltatech@tuta.io
mailto:mccreight.ellery@tutanota.com
mailto:2020x0@protonmail.com
mailto:2020x@cock.lu
mailto:verious1@cock.li
mailto:filesreturn@cock.li
mailto:decphob@tuta.io
mailto:decphob@protonmail.com
mailto:mecybaki@firemail.cc
mailto:naqohiky@firemail.cc
mailto:ezequielanthon@aol.com
mailto:robinhood@countermail.com
mailto:eccentric_inventor@aol.com
mailto:noyes.brice@aol.com
mailto:merlinwebster@aol.com
mailto:sookie.stackhouse@gmx.com
mailto:chinadecrypt@fasthelpassia.com
mailto:savemyself1@tutanota.com
mailto:crioso@protonmail.com
mailto:wiruxa@airmail.cc
mailto:yongloun@tutanota.com
mailto:anygrishevich@yandex.ru
mailto:simplesup@cock.li
mailto:helpisos@aol.com
mailto:davidshelper@protonmail.com
mailto:simplesup@tutanota.com
mailto:subik099@tutanota.com
jabber:helpforfiles@xmpp.es
mailto:qirapoo@firemail.cc
mailto:dozusopo@tutanota.com
mailto:unlockfiles2021@cock.li
mailto:spacexhuman@tutanota.com
mailto:spacexhuman@protonmail.com
mailto:spacexhuman@jabb.im
mailto:bernard.bunyan@aol.com
mailto:saveisos@aol.com
mailto:devos@countermail.com
mailto:files@restore.ws
mailto:unlockfile@firemail.cc
mailto:kxxe@airmail.cc
mailto:guxehys@mailfence.com
mailto:sparem@kolabnow.com
mailto:raypas@goat.si
mailto:save2020@qq.com
mailto:xizers@airmail.cc
mailto:jackkarter@gmx.com
mailto:jackkarter@cock.li
mailto:sacura889@tutanota.com
mailto:recoverycode@protonmail.com
mailto:pyyring23@protonmail.com
mailto:fastway@tuta.io
mailto:miadowson@tuta.io
mailto:unlocker@criptext.com
mailto:virtualhorse1@protonmail.com
mailto:serhio.vale@tutanota.com
mailto:use_harrd@protonmail.com
mailto:usehhard@cock.li
mailto:victorlustig@gmx.com
mailto:elfbash@protonmil.com
mailto:helpyoubus11@tutanota.com
mailto:helpyourdesk11@protonmail.com
mailto:xgen@tuta.io
mailto:zgen@tuta.io
mailto:deparisko@secmail.pro
mailto:deparisko@dnmx.org
mailto:gener888@tutanota.com
mailto:sacura1716@cock.li
mailto:starcomp@keemail.me
mailto:xdone@tutamail.com
mailto:starcomp@jabb.im
mailto:xlll@imap.cc
mailto:jackrasal@privatemail.com
mailto:bambam988@tutanota.com
mailto:jiminok31@cock.li
mailto:restore1_helper@gmx.de
mailto:restore2_helper@mein.gmx
mailto:eddyayman@gmail.comот
mailto:kylenoble726@aol.comот
mailto:asdqzx51@gmail.com
mailto:xioxian@onionmail.org
icq:@fartwetsquirrel
icq:KONSKAPISA
icq:Sophos
icq:@Monetadicavallo
icq:@SAFEPLACE
icq:@VIRTUALHORSE
icq:@HORSEMONEY
icq:@Mudakperdak
bitmessage:BM-2cVoXfF2BdYyfxBrady3hopZN6izutPyEr
telegram:@hpdec
telegram:@iso_recovery
telegram:@SimpleSup
telegram:@zahxet
telegram:@krasume
telegram:@santatop
mailto:symetrikk@protonmail.com
mailto:symetrikk@aol.com
mailto:willi.stroud@aol.com
mailto:excentrique_inventeur@aol.com
mailto:zsebas@airmail.cc
mailto:robud@ctemplar.com
mailto:robud@outlookpro.net
mailto:kryzikrut@airmail.cc
jabber:youcanwrite24h@jabb3r.de
mailto:ifirsthelperforunlockyourfiles@privatemail.com
mailto:isecondhelperforunlockyourfiles@airmail.cc
mailto:boomblack@tutanota.com
mailto:boomblack@cock.li
mailto:b.wilek@aol.com
mailto:tr_2020@protonmail.com
mailto:terrypr2020@yandex.com
mailto:ransomwaree2020@cock.li
mailto:ransomwaree2021@cock.li
telegram:@Resp0nse
mailto:decryptionsupport911@airmail.cc
session:05192bf5c22b1a71ba759efb3b1192412e886f348229f6e59bd6caafbb8e374a1a

How Elastio can help

Don’t let ransomware
take over your data.

Elastio is a cloud-native data resilience platform on AWS, providing robust security and assuring the recoverability of critical data in cloud environments.

Elastio protects data from ransomware and malware evading perimeter defenses and mitigates downtime, data loss, and reputational harm for businesses.

Ransomware Research

About Phobos

Phobos

Genealogy

Targeting

Behavior of Phobos

Learn More

Characteristics of Phobos

Suffixes

Ransomware Notes

Executables

External Pages

How Elastio can help

Don’t let ransomware
take over your data.

Support

Company

Contact

Ransomware Research

About Phobos

Phobos

Genealogy

Targeting

Behavior of Phobos

Learn More

Characteristics of Phobos

Suffixes

Ransomware Notes

Executables

External Pages

How Elastio can help

Don’t let ransomwaretake over your data.

Support

Company

Contact

Don’t let ransomware
take over your data.