फोबोस रैंसमवेयर

फोबोस रैंसमवेयर विवरण

फ़ोर्सबॉस रेमेंसर फोबोस रैनसमवेयर एक एन्क्रिप्शन रैंसमवेयर ट्रोजन है जिसे पहली बार 21 अक्टूबर, 2017 को देखा गया था। फोबोस रैनसमवेयर का इस्तेमाल पश्चिमी यूरोप और संयुक्त राज्य अमेरिका में कंप्यूटर उपयोगकर्ताओं को लक्षित करने के लिए किया जा रहा है और पीड़ितों को अंग्रेजी में फिरौती के संदेश वितरित करता है। फोबोस रैनसमवेयर को वितरित करने का मुख्य तरीका स्पैम ईमेल अटैचमेंट का उपयोग है, जो माइक्रोसॉफ्ट वर्ड दस्तावेजों के रूप में प्रकट हो सकता है जिसमें मैक्रोज़ सक्षम हैं। इन मैक्रो स्क्रिप्ट्स को पीड़ित के कंप्यूटर पर फोबोस रैनसमवेयर को डाउनलोड और इंस्टॉल करने के लिए डिज़ाइन किया गया है जब दूषित फ़ाइल एक्सेस की जाती है। यह संभावना है कि फोबोस रैंसमवेयर एक स्वतंत्र खतरा है क्योंकि यह एक सेवा (रास) प्रदाता के रूप में रैंसमवेयर के एक विशाल परिवार से संबंधित नहीं लगता है।


मैलवेयर में इस सप्ताह Ep2: फोबोस रैंसमवेयर पश्चिमी यूरोप और अमेरिका को लक्षित कर रहा है

फोबोस रैनसमवेयर द्वारा एन्क्रिप्ट की गई फाइलों की पहचान कैसे करें

अधिकांश अन्य समान खतरों की तरह, फोबोस रैनसमवेयर एक मजबूत एन्क्रिप्शन एल्गोरिथम का उपयोग करके पीड़ित की फाइलों को एन्क्रिप्ट करके काम करता है। एन्क्रिप्शन फाइलों को दुर्गम बनाता है, फोबोस रैनसमवेयर को पीड़ित के डेटा को तब तक बंधक बनाने की अनुमति देता है जब तक कि पीड़ित फिरौती का भुगतान नहीं करता। फोबोस रैनसमवेयर उपयोगकर्ता-जनित फाइलों को लक्षित करेगा, जिसमें निम्नलिखित एक्सटेंशन वाली फाइलें शामिल हो सकती हैं:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid, . mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg,.part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip।

जैसा कि ऊपर दी गई सूची से देखा जा सकता है, फोबोस रैनसमवेयर दस्तावेजों, मीडिया, छवियों और अन्य आमतौर पर उपयोग की जाने वाली फाइलों को लक्षित करता है, और एईएस 256 एन्क्रिप्शन का उपयोग करके उन्हें एन्क्रिप्ट करता है। पीड़ित की फाइलों को एन्क्रिप्ट किए जाने के बाद, फोबोस रैनसमवेयर अपने कमांड और कंट्रोल सर्वर से संक्रमित कंप्यूटर के बारे में डेटा रिले करने के साथ-साथ कॉन्फ़िगरेशन डेटा प्राप्त करने के लिए संचार करेगा। फोबोस रैनसमवेयर अपने हमले द्वारा एन्क्रिप्ट की गई फाइलों की पहचान उनके नाम को निम्नलिखित स्ट्रिंग में बदलकर करेगा:

..ID [आठ यादृच्छिक वर्ण]। [ottozimmerman@protonmail.ch]। PHOBOS

फोबोस रैनसमवेयर की फिरौती की मांग

फोबोस रैनसमवेयर प्रोग्राम विंडो के रूप में 'आपकी फाइलें एन्क्रिप्टेड हैं!' शीर्षक के साथ एक फिरौती नोट देता है। पीड़ित की फाइलों को एन्क्रिप्ट और नाम बदलने के बाद। इस प्रोग्राम विंडो में विंडो के एक कोने में लोगो 'PHOBOS' शामिल है और यह दावा करता है कि पीड़ित को संक्रमित फ़ाइलों को पुनर्स्थापित करने के लिए फिरौती का भुगतान करना होगा। एक पीड़ित के कंप्यूटर पर हमले के दौरान फोबोस रैनसमवेयर द्वारा प्रदर्शित फिरौती नोट में लिखा है:

'आपकी सभी फाइलें एन्क्रिप्टेड हैं
नमस्ते दुनिया
इस पीसी पर डेटा बेकार बाइनरी कोड में चला गया
सामान्य स्थिति में लौटने के लिए, कृपया इस ईमेल द्वारा हमसे संपर्क करें: OttoZimmerman@protonmail.ch
अपने संदेश का विषय 'एन्क्रिप्शन आईडी:[8 यादृच्छिक वर्ण]' पर सेट करें
रोचक तथ्य:
1. समय के साथ लागत बढ़ती है, अपना समय बर्बाद मत करो
2. केवल हम ही आपकी मदद कर सकते हैं, निश्चित रूप से, कोई और नहीं।
3. सावधान रहें यदि आप अभी भी समस्या के अन्य समाधान खोजने का प्रयास करते हैं, तो उन फ़ाइलों की बैकअप प्रतिलिपि बनाएं जिन पर आप प्रयोग करना चाहते हैं, a. उनके साथ खेलो। अन्यथा, वे स्थायी रूप से क्षतिग्रस्त हो सकते हैं।
4. कोई भी सेवा जो आपको मदद की पेशकश करती है या सिर्फ आपसे पैसे लेती है और गायब हो जाती है, या वे हमारे बीच बिचौलिये होंगे, बढ़े हुए मूल्य के साथ। चूंकि मारक केवल वायरस के रचनाकारों में से है
फोबोस'

फोबोस रैंसमवेयर से निपटना

दुर्भाग्य से, एक बार जब फोबोस रैनसमवेयर फाइलों को एन्क्रिप्ट कर देता है, तो डिक्रिप्शन कुंजी के बिना प्रभावित फाइलों को पुनर्स्थापित करना असंभव हो जाता है। इस वजह से, यह सुनिश्चित करने के लिए कि आपका डेटा अच्छी तरह से सुरक्षित है, पूर्व-निवारक उपाय करना महत्वपूर्ण है। फोबोस रैनसमवेयर जैसे खतरों के खिलाफ सबसे अच्छी सुरक्षा एक विश्वसनीय बैकअप सिस्टम होना है। सभी फाइलों की बैकअप प्रतियां होने का मतलब है कि फोबोस रैंसमवेयर हमले के शिकार अपने डेटा को हमले के बाद जल्दी और मज़बूती से पुनर्स्थापित कर सकते हैं।

अपडेट 4 जनवरी, 2019 - 'Job2019@tutanota.com' रैंसमवेयर

'Job2019@tutanota.com' रैनसमवेयर को फोबोस रैनसमवेयर के थोड़े अपडेटेड वेरिएंट के रूप में वर्गीकृत किया गया है, जिसे शुरुआत में अक्टूबर 2017 में जारी किया गया था। 'Job2019@tutanota.com' रैनसमवेयर एक साल से कुछ अधिक समय बाद दिखाई देता है और इसमें कोई महत्वपूर्ण अपडेट नहीं दिखता है। जनवरी 2019 में 'Job2019@tutanota.com' रैनसमवेयर की पहचान की गई थी और ऐसा लगता है कि यह अपने पूर्ववर्ती की तरह ही फैल रहा है। खतरा पेलोड माइक्रोसॉफ्ट वर्ड फाइलों में एम्बेडेड मैक्रो स्क्रिप्स के माध्यम से वितरित किया जाता है जिसे आप सोशल मीडिया और ऑनलाइन स्टोर से प्रतीत होने वाले आधिकारिक अपडेट से संलग्न देख सकते हैं। 'Job2019@tutanota.com' रैंसमवेयर प्राथमिक सिस्टम ड्राइव पर एक अस्थायी फ़ोल्डर बनाने और टास्क मैनेजर में एक यादृच्छिक नाम के साथ एक प्रक्रिया लोड करने की संभावना है। 'Job2019@tutanota.com' रैनसमवेयर ट्रोजन को आपके फ़ोटो, टेक्स्ट, संगीत और वीडियो को एन्कोड करने से पहले शैडो वॉल्यूम स्नैपशॉट को हटाने के लिए कॉन्फ़िगर किया गया है। नया संस्करण दो ईमेल खातों के माध्यम से डिक्रिप्शन सेवाओं को बढ़ावा देने के लिए जाना जाता है, जिसका नाम है - 'Job2019@tutanota.com' और 'Cadillac.407@aol.com'। फिरौती नोट को एक छोटी प्रोग्राम विंडो के रूप में स्टाइल किया गया है जो कि डिफ़ॉल्ट विंडोज 10 थीम के समान नीले रंग की है। ट्रोजन को 'आपकी फाइलें एन्क्रिप्ट की गई हैं!' नाम की एक विंडो दिखाने की सूचना है। ऐसा लगता है कि विंडो 'Phobos.hta' से लोड की गई है, जिसे विंडोज़ पर Temp फ़ोल्डर में गिरा दिया गया है और पढ़ता है:

'आपकी सभी फाइलें एन्क्रिप्टेड हैं
नमस्ते दुनिया
इस पीसी पर डेटा एक बेकार बाइनरी कोड में बदल गया
सामान्य स्थिति में लौटने के लिए, कृपया इस ई-मेल द्वारा हमसे संपर्क करें: OttoZimmerman@protonmail.ch
अपने संदेश का विषय 'एन्क्रिप्शन आईडी: [8 अंकों की संख्या] पर सेट करें
1. समय के साथ लागत बढ़ती है, अपना समय बर्बाद मत करो
2. केवल हम ही आपकी मदद कर सकते हैं, निश्चित रूप से, कोई और नहीं।
3. सावधान रहें !!! यदि आप अभी भी समस्या के अन्य समाधान खोजने का प्रयास करते हैं, तो उन फ़ाइलों की बैकअप प्रतिलिपि बनाएं जिन पर आप प्रयोग करना चाहते हैं, और उनके साथ खेलें। अन्यथा, वे स्थायी रूप से क्षतिग्रस्त हो सकते हैं
4. कोई भी सेवा जो आपको मदद की पेशकश करती है या सिर्फ आपसे पैसे लेती है और गायब हो जाती है, या वे हमारे बीच बिचौलिए होंगे, बढ़े हुए मूल्य के साथ। चूंकि मारक केवल वायरस के रचनाकारों में से है'

कहा जाता है कि 'Job2019@tutanota.com' रैंसमवेयर के कुछ वेरिएंट 'आपकी फाइलें एन्क्रिप्टेड हैं!' के बजाय एक साधारण डायलॉग बॉक्स तैयार करते हैं। स्क्रीन जो कहती है:

'आपकी सभी फाइलें एन्क्रिप्टेड हैं
अपनी फ़ाइलों को डिक्रिप्ट करने के लिए, इस ई-मेल का उपयोग करके हमसे संपर्क करें: [ईमेल पता] कृपया विषय 'एन्क्रिप्शन आईडी: [8 अंकों की संख्या] सेट करें।
हम प्रमाण के रूप में आपकी परीक्षण फ़ाइलों का निःशुल्क डिक्रिप्शन प्रदान करते हैं। आप उन्हें अपने ई-मेल में संलग्न कर सकते हैं, और हम आपको डिक्रिप्टेड ईमेल भेजेंगे।
समय के साथ डिक्रिप्शन की कीमत बढ़ती है, जल्दी करो और छूट पाओ।
तीसरे पक्ष का उपयोग करने वाले डिक्रिप्शन से घोटाला या बढ़ी हुई कीमत हो सकती है।'

प्रभावित डेटा को दो एक्सटेंशन में से एक प्राप्त हो सकता है - '.ID- [8 अंकों की संख्या]। [Job2019@tutanota.com].phobos' या '.ID-[8 अंकों की संख्या]।[Job2019@tutanota.com].phobos .' उदाहरण के लिए, 'Sabaton-Carolus Rex.mp3' का नाम बदलकर 'Sabaton-Carolus Rex.mp3.ID-91651720.[Job2019@tutanota.com].phobos' और 'Sabaton-Carolus Rex.mp3.ID-68941751' किया जा सकता है। [Job2019@tutanota.com].फोबोस।' हम रैंसमवेयर अभिनेताओं के साथ बातचीत से बचने की सलाह देते हैं क्योंकि आपको डिक्रिप्टर प्राप्त नहीं हो सकता है। आपको अपनी फ़ाइल संरचना के पुनर्निर्माण के लिए डेटा बैकअप का उपयोग करना चाहिए और 'Job2019@tutanota.com' रैंसमवेयर द्वारा छोड़े गए संसाधनों को निकालने के लिए एक संपूर्ण सिस्टम स्कैन चलाना चाहिए।