Phobos Ransomware

Phobos Ransomware Descrizione

Phobos Ransomware Screenshot Phobos Ransomware è un Trojan ransomware di crittografia che è stato osservato per la prima volta il 21 ottobre 2017. Phobos Ransomware viene utilizzato per indirizzare gli utenti di computer in Europa occidentale e negli Stati Uniti e fornisce i suoi messaggi di riscatto in inglese alle vittime. Il modo principale in cui viene distribuito Phobos Ransomware è attraverso l'uso di allegati e-mail di spam, che possono apparire come documenti di Microsoft Word che hanno abilitato le macro. Questi script macro sono progettati per scaricare e installare Phobos Ransomware sul computer della vittima quando si accede al file danneggiato. È probabile che Phobos Ransomware sia una minaccia indipendente poiché non sembra appartenere a una vasta famiglia di fornitori di Ransomware as a Service (RaaS).


Questa settimana in Malware Ep2: Phobos Ransomware sta prendendo di mira l'Europa occidentale e gli Stati Uniti

Come identificare i file crittografati da Phobos Ransomware

Come la maggior parte delle altre minacce simili, Phobos Ransomware funziona crittografando i file della vittima utilizzando un potente algoritmo di crittografia. La crittografia rende i file inaccessibili, consentendo a Phobos Ransomware di prendere in ostaggio i dati della vittima fino a quando la vittima non paga un riscatto. Phobos Ransomware prenderà di mira i file generati dagli utenti, che possono includere file con le seguenti estensioni:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Come si può notare dall'elenco sopra, Phobos Ransomware prende di mira documenti, media, immagini e altri file di uso comune e li crittografa utilizzando la crittografia AES 256. Dopo che i file della vittima sono stati crittografati, Phobos Ransomware comunicherà con il suo server di comando e controllo per trasmettere i dati sul computer infetto, oltre a ricevere i dati di configurazione. Phobos Ransomware identificherà i file crittografati dal suo attacco cambiando i loro nomi nella seguente stringa:

..ID [otto caratteri casuali]. [Ottozimmerman@protonmail.ch] .PHOBOS

Le richieste di riscatto di Phobos Ransomware

Phobos Ransomware fornisce una richiesta di riscatto sotto forma di una finestra del programma con il titolo "I tuoi file sono crittografati!" dopo che i file della vittima sono stati crittografati e rinominati. Questa finestra del programma include il logo "PHOBOS" in uno degli angoli della finestra e afferma che la vittima deve pagare un riscatto per ripristinare i file infetti. La nota di riscatto che Phobos Ransomware mostra durante il suo attacco al computer di una vittima recita:

'Tutti i tuoi file sono crittografati
Ciao mondo
I dati su questo PC sono incappati in codice binario inutile
Per tornare alla normalità, contattaci tramite questa e-mail: OttoZimmerman@protonmail.ch
Imposta l'argomento del tuo messaggio su "ID crittografia: [8 caratteri casuali]"
Fatti interessanti:
1. Nel tempo il costo aumenta, non perdere tempo
2. Solo noi possiamo aiutarti, di sicuro, nessun altro.
3. PRESTARE ATTENZIONE Se si tenta ancora di trovare altre soluzioni al problema, fare una copia di backup dei file su cui si desidera sperimentare, a. gioca con loro. In caso contrario, possono essere danneggiati in modo permanente.
4. Tutti i servizi che ti offrono aiuto o ti prendono semplicemente dei soldi e scompaiono, o saranno intermediari tra di noi, con un valore gonfiato. Poiché l'antidoto è solo tra i creatori del virus
PHOBOS '

Trattare con Phobos Ransomware

Sfortunatamente, una volta che Phobos Ransomware crittografa i file, diventa impossibile ripristinare i file interessati senza la chiave di decrittazione. Per questo motivo, è importante adottare misure preventive per garantire che i tuoi dati siano ben protetti. La migliore protezione contro minacce come Phobos Ransomware è disporre di un sistema di backup affidabile. Avere copie di backup di tutti i file significa che le vittime dell'attacco Phobos Ransomware possono ripristinare i propri dati dopo un attacco in modo rapido e affidabile.

Aggiornamento del 4 gennaio 2019: ransomware "Job2019@tutanota.com"

Il ransomware "Job2019@tutanota.com" è classificato come una variante leggermente aggiornata del ransomware Phobos che è stato rilasciato inizialmente nell'ottobre 2017. Il ransomware "Job2019@tutanota.com" appare poco più di un anno dopo senza aggiornamenti significativi da mostrare. Il ransomware "Job2019@tutanota.com" è stato identificato nel gennaio 2019 e sembra diffondersi allo stesso modo del suo predecessore. Il payload delle minacce viene fornito tramite script macro incorporati nei file di Microsoft Word che potresti vedere allegati ad aggiornamenti apparentemente ufficiali dai social media e dai negozi online. È probabile che il ransomware "Job2019@tutanota.com" crei una cartella temporanea sull'unità di sistema principale e carichi un processo con un nome casuale nel Task Manager. Il Trojan ransomware "Job2019@tutanota.com" è configurato per eliminare le istantanee Shadow Volume prima di codificare foto, testo, musica e video. La nuova variante è nota per promuovere i servizi di decrittazione tramite due account di posta elettronica, ovvero "Job2019@tutanota.com" e "Cadillac.407@aol.com". La richiesta di riscatto ha lo stile di una piccola finestra del programma colorata nella stessa tonalità di blu del tema predefinito di Windows 10. Si dice che il Trojan mostri una finestra denominata "I tuoi file sono crittografati!". La finestra sembra essere caricata da "Phobos.hta", che viene rilasciato nella cartella Temp su Windows e si legge:

'Tutti i tuoi file sono crittografati
Ciao mondo
I dati su questo PC si sono trasformati in un codice binario inutile
Per tornare alla normalità, contattaci tramite questa e-mail: OttoZimmerman@protonmail.ch
Imposta l'argomento del tuo messaggio su "ID crittografia: [numero di 8 cifre]
1. Nel tempo il costo aumenta, non perdere tempo
2. Solo noi possiamo aiutarti, di sicuro, nessun altro.
3. ATTENZIONE !!! Se provi ancora a trovare altre soluzioni al problema, fai una copia di backup dei file su cui vuoi sperimentare e gioca con loro. In caso contrario, possono essere danneggiati in modo permanente
4. Tutti i servizi che ti offrono aiuto o ti prendono semplicemente dei soldi e scompaiono, o saranno intermediari tra di noi, con un valore gonfiato. Poiché l'antidoto è solo tra i creatori del virus '

Si dice che alcune varianti del ransomware "Job2019@tutanota.com" producano una semplice finestra di dialogo invece di "I tuoi file sono crittografati!" schermo che dice:

'Tutti i tuoi file sono crittografati
Per decrittografare i file, contattaci utilizzando questa e-mail: [indirizzo e-mail] Imposta l'argomento "ID crittografia: [numero di 8 cifre].
Offriamo la decrittazione gratuita dei file di prova come prova. Puoi allegarli alla tua e-mail e ti invieremo quelli decrittografati.
Il prezzo della decrittazione aumenta nel tempo, affrettati e ottieni uno sconto.
La decrittazione utilizzando terze parti può portare a truffe o aumento del prezzo. "

I dati interessati possono ricevere uno dei due interni: ".ID- [numero di 8 cifre]. [Job2019@tutanota.com] .phobos" o ".ID- [numero di 8 cifre]. [Job2019@tutanota.com] .phobos . " Ad esempio, "Sabaton-Carolus Rex.mp3" può essere rinominato in "Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos" e "Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. " Ti consigliamo di evitare negoziazioni con gli attori del ransomware perché potresti non ricevere un decryptor. È necessario utilizzare i backup dei dati per ricostruire la struttura dei file ed eseguire una scansione completa del sistema per rimuovere le risorse che potrebbero essere state lasciate dal ransomware "Job2019@tutanota.com".