Phobos Ransomware

Phobos Ransomware Beskrivelse

Phobos Ransomware-skærmbillede Phobos Ransomware er en krypteringsransomware-trojan, der først blev observeret den 21. oktober 2017. Phobos Ransomware bruges til at målrette computerbrugere i Vesteuropa og USA og leverer sine løsesummeddelelser på engelsk til ofrene. Den vigtigste måde, hvorpå Phobos Ransomware distribueres, er ved hjælp af vedhæftede filer til spam-e-mails, som kan vises som Microsoft Word-dokumenter, der har aktiveret makroer. Disse makro-scripts er designet til at downloade og installere Phobos Ransomware på offerets computer, når der er adgang til den beskadigede fil. Det er sandsynligt, at Phobos Ransomware er en uafhængig trussel, da den ikke ser ud til at tilhøre en stor familie af Ransomware as a Service (RaaS) udbyder.


Denne uge i Malware Ep2: Phobos Ransomware er målrettet mod Vesteuropa og USA

Sådan identificeres de filer, der er krypteret af Phobos Ransomware

Som de fleste andre lignende trusler fungerer Phobos Ransomware ved at kryptere ofrets filer ved hjælp af en stærk krypteringsalgoritme. Krypteringen gør filerne utilgængelige, så Phobos Ransomware kan tage offerets data som gidsler, indtil offeret betaler en løsesum. Phobos Ransomware vil målrette mod de brugergenererede filer, som kan omfatte filer med følgende udvidelser:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Som det kan bemærkes fra listen ovenfor, retter Phobos Ransomware sig mod dokumenter, medier, billeder og andre almindeligt anvendte filer og krypterer dem ved hjælp af AES 256-kryptering. Efter ofrets filer er krypteret, kommunikerer Phobos Ransomware med sin Command and Control-server for at videresende data om den inficerede computer samt modtage konfigurationsdata. Phobos Ransomware identificerer de filer, der er krypteret ved dets angreb, ved at ændre deres navne til følgende streng:

..ID [otte tilfældige tegn]. [Ottozimmerman@protonmail.ch] .PHOBOS

Phobos Ransomwares løsesumskrav

Phobos Ransomware leverer en løsesumnote i form af et programvindue med titlen 'Dine filer er krypteret!' efter at ofrets filer er krypteret og omdøbt. Dette programvindue inkluderer logoet 'PHOBOS' i et af hjørnerne af vinduet og hævder, at offeret skal betale en løsesum for at gendanne de inficerede filer. Løsepenge bemærker, at Phobos Ransomware vises under sit angreb på et offers computer lyder:

'Alle dine filer er krypteret
Hej Verden
Data på denne pc kørte ind i ubrugelig binær kode
For at vende tilbage til det normale, bedes du kontakte os via denne e-mail: OttoZimmerman@protonmail.ch
Indstil emnet for din besked til 'Krypterings-id: [8 tilfældige tegn]'
Interessante fakta:
1. Over tid stiger omkostningerne, spild ikke din tid
2. Kun vi kan helt sikkert hjælpe dig, ingen andre.
3. VÆR FORSIGTIG Hvis du stadig prøver at finde andre løsninger på problemet, skal du tage en sikkerhedskopi af de filer, du vil eksperimentere med, a. leg med dem. Ellers kan de blive beskadiget permanent.
4. Alle tjenester, der tilbyder dig hjælp eller bare tager penge fra dig og forsvinder, eller de vil være mellemmænd mellem os med oppustet værdi. Da modgiften kun er blandt skaberne af virussen
FOBOS '

Håndtering af Phobos Ransomware

Desværre, når Phobos Ransomware krypterer filerne, bliver det umuligt at gendanne de berørte filer uden dekrypteringsnøglen. På grund af dette er det vigtigt at træffe forebyggende foranstaltninger for at sikre, at dine data er godt beskyttet. Den bedste beskyttelse mod trusler som Phobos Ransomware er at have et pålideligt sikkerhedskopieringssystem. At have sikkerhedskopier af alle filer betyder, at ofrene for Phobos Ransomware-angrebet hurtigt og pålideligt kan gendanne deres data efter et angreb.

Opdater 4. januar 2019 - 'Job2019@tutanota.com' Ransomware

Ransomware 'Job2019@tutanota.com' er kategoriseret som en lidt opdateret variant af Phobos Ransomware, der oprindeligt blev frigivet i oktober 2017. 'Job2019@tutanota.com' Ransomware vises lidt mere end et år senere uden væsentlige opdateringer at vise. Ransomware 'Job2019@tutanota.com' blev identificeret i januar 2019 og ser ud til at sprede sig på samme måde som sin forgænger. Trusselnyttelasten leveres gennem makroskrips indlejret i Microsoft Word-filer, som du muligvis ser knyttet til tilsyneladende officielle opdateringer fra sociale medier og onlinebutikker. Ransomware 'Job2019@tutanota.com' opretter sandsynligvis en midlertidig mappe på det primære systemdrev og indlæser en proces med et tilfældigt navn i Jobliste. Ransomware Trojan 'Job2019@tutanota.com' er konfigureret til at slette Shadow Volume snapshots inden kodning af dine fotos, tekst, musik og video. Den nye variant er kendt for at promovere dekrypteringstjenester via to e-mail-konti, nemlig - 'Job2019@tutanota.com' og 'Cadillac.407@aol.com.' Løsepenge noten er stylet som et lille programvindue farvet i samme blå nuance som standard Windows 10-temaet. Trojanen rapporteres at vise et vindue med navnet 'Dine filer er krypteret !.' Vinduet ser ud til at være indlæst fra 'Phobos.hta', som falder til Temp-mappen på Windows og lyder:

'Alle dine filer er krypteret
Hej Verden
Data på denne pc blev til en ubrugelig binær kode
For at vende tilbage til det normale, bedes du kontakte os via denne e-mail: OttoZimmerman@protonmail.ch
Indstil emnet for din besked til 'Krypterings-id: [8 cifret nummer]
1. Over tid stiger omkostningerne, spild ikke din tid
2. Kun vi kan helt sikkert hjælpe dig, ingen andre.
3. VÆR FORSIGTIG !!! Hvis du stadig prøver at finde andre løsninger på problemet, skal du lave en sikkerhedskopi af de filer, du vil eksperimentere med, og spille med dem. Ellers kan de blive beskadiget permanent
4. Alle tjenester, der tilbyder dig hjælp eller bare tager penge fra dig og forsvinder, eller de vil være mellemmænd mellem os med oppustet værdi. Da modgiften kun er blandt skaberne af virussen '

Nogle varianter af 'Job2019@tutanota.com' Ransomware siges at producere en simpel dialogboks i stedet for 'Dine filer er krypteret!' skærm, der siger:

'Alle dine filer er krypteret
For at dekryptere dine filer, kontakt os ved hjælp af denne e-mail: [e-mail-adresse] Angiv emnet 'Krypterings-id: [8 cifret nummer].
Vi tilbyder gratis dekryptering af dine testfiler som bevis. Du kan vedhæfte dem til din e-mail, og vi sender dig dekrypterede.
Krypteringsprisen stiger over tid, skynd dig og få rabat.
Dekryptering ved hjælp af tredjeparter kan føre til fidus eller forhøjet pris. '

De berørte data kan modtage en af to udvidelser - '.ID- [8 cifret nummer]. [Job2019@tutanota.com] .phobos' eller '.ID- [8 cifret nummer]. [Job2019@tutanota.com] .phobos . ' For eksempel kan 'Sabaton-Carolus Rex.mp3' omdøbes til 'Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos' og 'Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. ' Vi anbefaler, at du undgår forhandlinger med ransomware-aktørerne, fordi du muligvis ikke modtager en decryptor. Du skal bruge sikkerhedskopier af data til at genopbygge din filstruktur og køre en komplet systemscanning for at fjerne de ressourcer, der muligvis er efterladt af 'Job2019@tutanota.com' Ransomware.