Trusseldatabase Ransomware Phobos Ransomware

Phobos Ransomware

Trusselscorekort

Trusselsniveau: 100 % (Høj)
Inficerede computere: 1,621
Først set: July 24, 2009
Sidst set: July 16, 2020
Berørte operativsystemer: Windows

Phobos Ransomware er en krypteringsransomware-trojan, der først blev observeret den 21. oktober 2017. Phobos Ransomware bruges til at målrette computerbrugere i Vesteuropa og USA og leverer sine løsesummeddelelser på engelsk til ofrene. Den vigtigste måde, hvorpå Phobos Ransomware distribueres, er ved hjælp af vedhæftede filer til spam-e-mails, som kan vises som Microsoft Word-dokumenter, der har aktiveret makroer. Disse makro-scripts er designet til at downloade og installere Phobos Ransomware på offerets computer, når der er adgang til den beskadigede fil. Det er sandsynligt, at Phobos Ransomware er en uafhængig trussel, da den ikke ser ud til at tilhøre en stor familie af Ransomware as a Service (RaaS) udbyder.


Denne uge i Malware Ep2: Phobos Ransomware er målrettet mod Vesteuropa og USA

Sådan identificeres de filer, der er krypteret af Phobos Ransomware

Som de fleste andre lignende trusler fungerer Phobos Ransomware ved at kryptere ofrets filer ved hjælp af en stærk krypteringsalgoritme. Krypteringen gør filerne utilgængelige, så Phobos Ransomware kan tage offerets data som gidsler, indtil offeret betaler en løsesum. Phobos Ransomware vil målrette mod de brugergenererede filer, som kan omfatte filer med følgende udvidelser:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Som det kan bemærkes fra listen ovenfor, retter Phobos Ransomware sig mod dokumenter, medier, billeder og andre almindeligt anvendte filer og krypterer dem ved hjælp af AES 256-kryptering. Efter ofrets filer er krypteret, kommunikerer Phobos Ransomware med sin Command and Control-server for at videresende data om den inficerede computer samt modtage konfigurationsdata. Phobos Ransomware identificerer de filer, der er krypteret ved dets angreb, ved at ændre deres navne til følgende streng:

..ID [otte tilfældige tegn]. [Ottozimmerman@protonmail.ch] .PHOBOS

Phobos Ransomwares løsesumskrav

Phobos Ransomware leverer en løsesumnote i form af et programvindue med titlen 'Dine filer er krypteret!' efter at ofrets filer er krypteret og omdøbt. Dette programvindue inkluderer logoet 'PHOBOS' i et af hjørnerne af vinduet og hævder, at offeret skal betale en løsesum for at gendanne de inficerede filer. Løsepenge bemærker, at Phobos Ransomware vises under sit angreb på et offers computer lyder:

'Alle dine filer er krypteret
Hej Verden
Data på denne pc kørte ind i ubrugelig binær kode
For at vende tilbage til det normale, bedes du kontakte os via denne e-mail: OttoZimmerman@protonmail.ch
Indstil emnet for din besked til 'Krypterings-id: [8 tilfældige tegn]'
Interessante fakta:
1. Over tid stiger omkostningerne, spild ikke din tid
2. Kun vi kan helt sikkert hjælpe dig, ingen andre.
3. VÆR FORSIGTIG Hvis du stadig prøver at finde andre løsninger på problemet, skal du tage en sikkerhedskopi af de filer, du vil eksperimentere med, a. leg med dem. Ellers kan de blive beskadiget permanent.
4. Alle tjenester, der tilbyder dig hjælp eller bare tager penge fra dig og forsvinder, eller de vil være mellemmænd mellem os med oppustet værdi. Da modgiften kun er blandt skaberne af virussen
FOBOS '

Håndtering af Phobos Ransomware

Desværre, når Phobos Ransomware krypterer filerne, bliver det umuligt at gendanne de berørte filer uden dekrypteringsnøglen. På grund af dette er det vigtigt at træffe forebyggende foranstaltninger for at sikre, at dine data er godt beskyttet. Den bedste beskyttelse mod trusler som Phobos Ransomware er at have et pålideligt sikkerhedskopieringssystem. At have sikkerhedskopier af alle filer betyder, at ofrene for Phobos Ransomware-angrebet hurtigt og pålideligt kan gendanne deres data efter et angreb.

Opdater 4. januar 2019 - 'Job2019@tutanota.com' Ransomware

Ransomware 'Job2019@tutanota.com' er kategoriseret som en lidt opdateret variant af Phobos Ransomware, der oprindeligt blev frigivet i oktober 2017. 'Job2019@tutanota.com' Ransomware vises lidt mere end et år senere uden væsentlige opdateringer at vise. Ransomware 'Job2019@tutanota.com' blev identificeret i januar 2019 og ser ud til at sprede sig på samme måde som sin forgænger. Trusselnyttelasten leveres gennem makroskrips indlejret i Microsoft Word-filer, som du muligvis ser knyttet til tilsyneladende officielle opdateringer fra sociale medier og onlinebutikker. Ransomware 'Job2019@tutanota.com' opretter sandsynligvis en midlertidig mappe på det primære systemdrev og indlæser en proces med et tilfældigt navn i Jobliste. Ransomware Trojan 'Job2019@tutanota.com' er konfigureret til at slette Shadow Volume snapshots inden kodning af dine fotos, tekst, musik og video. Den nye variant er kendt for at promovere dekrypteringstjenester via to e-mail-konti, nemlig - 'Job2019@tutanota.com' og 'Cadillac.407@aol.com.' Løsepenge noten er stylet som et lille programvindue farvet i samme blå nuance som standard Windows 10-temaet. Trojanen rapporteres at vise et vindue med navnet 'Dine filer er krypteret !.' Vinduet ser ud til at være indlæst fra 'Phobos.hta', som falder til Temp-mappen på Windows og lyder:

'Alle dine filer er krypteret
Hej Verden
Data på denne pc blev til en ubrugelig binær kode
For at vende tilbage til det normale, bedes du kontakte os via denne e-mail: OttoZimmerman@protonmail.ch
Indstil emnet for din besked til 'Krypterings-id: [8 cifret nummer]
1. Over tid stiger omkostningerne, spild ikke din tid
2. Kun vi kan helt sikkert hjælpe dig, ingen andre.
3. VÆR FORSIGTIG !!! Hvis du stadig prøver at finde andre løsninger på problemet, skal du lave en sikkerhedskopi af de filer, du vil eksperimentere med, og spille med dem. Ellers kan de blive beskadiget permanent
4. Alle tjenester, der tilbyder dig hjælp eller bare tager penge fra dig og forsvinder, eller de vil være mellemmænd mellem os med oppustet værdi. Da modgiften kun er blandt skaberne af virussen '

Nogle varianter af 'Job2019@tutanota.com' Ransomware siges at producere en simpel dialogboks i stedet for 'Dine filer er krypteret!' skærm, der siger:

'Alle dine filer er krypteret
For at dekryptere dine filer, kontakt os ved hjælp af denne e-mail: [e-mail-adresse] Angiv emnet 'Krypterings-id: [8 cifret nummer].
Vi tilbyder gratis dekryptering af dine testfiler som bevis. Du kan vedhæfte dem til din e-mail, og vi sender dig dekrypterede.
Krypteringsprisen stiger over tid, skynd dig og få rabat.
Dekryptering ved hjælp af tredjeparter kan føre til fidus eller forhøjet pris. '

De berørte data kan modtage en af to udvidelser - '.ID- [8 cifret nummer]. [Job2019@tutanota.com] .phobos' eller '.ID- [8 cifret nummer]. [Job2019@tutanota.com] .phobos . ' For eksempel kan 'Sabaton-Carolus Rex.mp3' omdøbes til 'Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos' og 'Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. ' Vi anbefaler, at du undgår forhandlinger med ransomware-aktørerne, fordi du muligvis ikke modtager en decryptor. Du skal bruge sikkerhedskopier af data til at genopbygge din filstruktur og køre en komplet systemscanning for at fjerne de ressourcer, der muligvis er efterladt af 'Job2019@tutanota.com' Ransomware.

aliasser

5 sikkerhedsleverandører markerede denne fil som ondsindet.

Antivirus software Opdagelse
CAT-QuickHeal Win32.Trojan.Obfuscated.gx.3
AVG Downloader.Obfuskated
Prevx1 Covert.Sys.Exec
Microsoft TrojanDownloader:Win32/Agent.ZZC
AntiVir TR/Crypt.XPACK.Gen

Phobos Ransomware Skærmbilleder

Detaljer om filsystem

Phobos Ransomware kan oprette følgende fil(er):
# Filnavn MD5 Detektioner
1. rrr_output7251B30.exe b3b69dabf55cf7a7955960d0c0575c27 72
2. rrr_output713F8B0.exe 29d51846a76a1bfbac91df5af4f7570e 64
3. rrr_output8F2121F.exe 5d533ba319fe6fd540d29cf8366775b1 63
4. rrr_outputEE209BF.exe 3677195abb0dc5e851e9c4bce433c1d2 59
5. rrr_output89A8FEF.exe 75d594f166d438ded4f4f1495a9b57b6 51
6. rrr_output354CF0.exe 360f782f4a688aba05f73b7a0d68ef43 51
7. rrr_output7492970.exe 376625a4a031656f0667723cd601f333 49
8. yvihok.exe 00db62e1b519159b0c20c00c2e97288b 46
9. rrr_outputE17E73F.exe f9ef51967dcb4120df9919ac5423bc13 39
10. rrr_outputDBB65DF.exe cd16baef95d0f47387e7336ceab30e19 32
11. rr_output89224BF.exe fb9df7345520194538db6eef48fb0652 31
12. rrr_outputF71089F.exe 3d5ec29f0374fce02c5816c24907cafe 27
13. rr_output5F98E0.exe 559973f8550ce68f7bae9c3e3aaa26aa 21
14. rrr_outputF0DA6CF.exe f653bc6e6dda82e487bfc4bc5197042b 21
15. rr_output12C4770.exe 45a9b21bd51f52db2b58ae7ae94cd668 18
16. rrr_output940674F.exe b76fbb1b51118459d119d2be049d7aa5 18
17. rrr_output3A9CF40.exe 6fa328484123906a6cfbbf5c6d7f9587 10
18. rrr_outputD25868F.exe b43db466c60b32a1b76fe3095851d026 8
19. rrr_output43F40E0.exe 5c2753e929fa1abaefec2a092f1726a6 7
20. rrr_output43f40e0.exe d1258b39c924746ed711af72e35e8262 5
21. ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe 26c23da3b8683eb3a727d54dcb8ce2f0 5
22. rr_output516C100.exe e8dedea6ce819f863da0c75c9d9bccde 4
23. rrr_output8f0a14f.exe 52e6b8ee647e675969d36b69070d1047 4
Flere filer

Registreringsoplysninger

Phobos Ransomware kan oprette følgende registreringsdatabasepost eller registreringsposter:
File name without path
svhost..exe
Regexp file mask
%APPDATA%\microsoft\windows\start menu\programs\startup\ph_exec.exe
%appdata%\microsoft\windows\start menu\programs\startup\r{1,5}_outputw{6,8}.exe
%LOCALAPPDATA%\ph_exec.exe
%localappdata%\r{1,5}_outputw{6,8}.exe

Relaterede indlæg

Trending

Mest sete

Indlæser...