Phobos Ransomware

Karta wyników zagrożenia

Poziom zagrożenia: 100 % (Wysoka)
Zainfekowane komputery: 1,621
Pierwszy widziany: July 24, 2009
Ostatnio widziany: July 16, 2020
Systemy operacyjne, których dotyczy problem: Windows

Phobos Ransomware to trojan szyfrujący oprogramowanie ransomware, który został po raz pierwszy zaobserwowany 21 października 2017 r. Phobos Ransomware jest wykorzystywany do atakowania użytkowników komputerów w Europie Zachodniej i Stanach Zjednoczonych i dostarcza ofiarom wiadomości z żądaniem okupu w języku angielskim. Głównym sposobem dystrybucji Phobos Ransomware jest używanie załączników do wiadomości spamowych, które mogą pojawiać się jako dokumenty Microsoft Word z włączonymi makrami. Te skrypty makr są przeznaczone do pobierania i instalowania Phobos Ransomware na komputerze ofiary podczas uzyskiwania dostępu do uszkodzonego pliku. Jest prawdopodobne, że Phobos Ransomware jest niezależnym zagrożeniem, ponieważ nie wydaje się należeć do ogromnej rodziny dostawców Ransomware as a Service (RaaS).


W tym tygodniu w Malware Ep2: Phobos Ransomware atakuje Europę Zachodnią i Stany Zjednoczone

Jak zidentyfikować pliki zaszyfrowane przez oprogramowanie ransomware Phobos?

Podobnie jak większość innych podobnych zagrożeń, Phobos Ransomware działa poprzez szyfrowanie plików ofiary przy użyciu silnego algorytmu szyfrowania. Szyfrowanie sprawia, że pliki są niedostępne, umożliwiając Phobos Ransomware przejęcie danych ofiary jako zakładnika, dopóki ofiara nie zapłaci okupu. Phobos Ransomware będzie atakować pliki generowane przez użytkowników, które mogą zawierać pliki z następującymi rozszerzeniami:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid, . mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Jak można zauważyć na powyższej liście, Phobos Ransomware atakuje dokumenty, multimedia, obrazy i inne powszechnie używane pliki i szyfruje je za pomocą szyfrowania AES 256. Po zaszyfrowaniu plików ofiary, Phobos Ransomware komunikuje się ze swoim serwerem dowodzenia i kontroli, aby przekazywać dane o zainfekowanym komputerze, a także otrzymywać dane konfiguracyjne. Phobos Ransomware zidentyfikuje pliki zaszyfrowane przez jego atak, zmieniając ich nazwy na następujący ciąg:

..ID[osiem losowych znaków].[ottozimmerman@protonmail.ch].PHOBOS

Żądania okupu przez Phobos Ransomware

Phobos Ransomware dostarcza żądanie okupu w postaci okna programu z tytułem „Twoje pliki są zaszyfrowane!" po zaszyfrowaniu i zmianie nazwy plików ofiary. To okno programu zawiera logo „PHOBOS" w jednym z rogów okna i twierdzi, że ofiara musi zapłacić okup, aby przywrócić zainfekowane pliki. Informacja o okupie, którą Phobos Ransomware wyświetla podczas ataku na komputer ofiary, brzmi:

'Wszystkie twoje pliki są zaszyfrowane
Witaj świecie
Dane na tym komputerze przekształciły się w bezużyteczny kod binarny
Aby powrócić do normalności, skontaktuj się z nami pod adresem e-mail: OttoZimmerman@protonmail.ch
Ustaw temat wiadomości na „Identyfikator szyfrowania: [8 losowych znaków]"
Interesujące fakty:
1. Z biegiem czasu koszty rosną, nie trać czasu
2. Tylko my możemy Ci pomóc, na pewno nikt inny.
3. ZACHOWAJ OSTROŻNOŚĆ Jeśli nadal próbujesz znaleźć inne rozwiązania problemu, wykonaj kopię zapasową plików, na których chcesz poeksperymentować. baw się z nimi. W przeciwnym razie mogą zostać trwale uszkodzone.
4. Wszelkie usługi, które oferują Ci pomoc lub po prostu odbierają Ci pieniądze i znikają, lub będą pośrednikami między nami, o zawyżonej wartości. Ponieważ antidotum jest tylko wśród twórców wirusa
FOBOS'

Radzenie sobie z oprogramowaniem Phobos Ransomware

Niestety, gdy Phobos Ransomware zaszyfruje pliki, przywrócenie tych plików bez klucza deszyfrującego staje się niemożliwe. Z tego powodu ważne jest, aby podjąć środki zapobiegawcze, aby zapewnić dobrą ochronę danych. Najlepszą ochroną przed zagrożeniami, takimi jak Phobos Ransomware, jest posiadanie niezawodnego systemu tworzenia kopii zapasowych. Posiadanie kopii zapasowych wszystkich plików oznacza, że ofiary ataku Phobos Ransomware mogą szybko i niezawodnie przywrócić swoje dane po ataku.

Aktualizacja 4 stycznia 2019 r. — Ransomware „Job2019@tutanota.com”

Ransomware „Job2019@tutanota.com" jest sklasyfikowany jako nieco zaktualizowany wariant Phobos Ransomware, który został początkowo wydany w październiku 2017 roku. Ransomware „Job2019@tutanota.com" pojawia się nieco ponad rok później bez żadnych istotnych aktualizacji. Ransomware „Job2019@tutanota.com" zostało zidentyfikowane w styczniu 2019 r. i wydaje się rozprzestrzeniać w taki sam sposób, jak jego poprzednik. Zagrożenie jest dostarczane za pomocą skryptów makr osadzonych w plikach programu Microsoft Word, które mogą być dołączone do pozornie oficjalnych aktualizacji z mediów społecznościowych i sklepów internetowych. Ransomware „Job2019@tutanota.com" prawdopodobnie utworzy tymczasowy folder na głównym dysku systemowym i załaduje proces o losowej nazwie w Menedżerze zadań. Trojan ransomware „Job2019@tutanota.com" jest skonfigurowany do usuwania migawek Shadow Volume przed zakodowaniem zdjęć, tekstu, muzyki i wideo. Wiadomo, że nowy wariant promuje usługi deszyfrowania za pośrednictwem dwóch kont e-mail, a mianowicie — „Job2019@tutanota.com" i „Cadillac.407@aol.com". Notatka dotycząca okupu jest stylizowana na małe okno programu w tym samym odcieniu niebieskiego, co domyślny motyw systemu Windows 10. Zgłoszono, że trojan wyświetla okno o nazwie „Twoje pliki są zaszyfrowane!". Wygląda na to, że okno jest ładowane z „Phobos.hta", który jest upuszczany do folderu Temp w systemie Windows i brzmi:

'Wszystkie twoje pliki są zaszyfrowane
Witaj świecie
Dane na tym komputerze zamieniły się w bezużyteczny kod binarny
Aby powrócić do normalności, skontaktuj się z nami pod adresem e-mail: OttoZimmerman@protonmail.ch
Ustaw temat wiadomości na „Identyfikator szyfrowania: [numer 8-cyfrowy]
1. Z biegiem czasu koszty rosną, nie trać czasu
2. Tylko my możemy Ci pomóc, na pewno nikt inny.
3. BĄDŹ OSTROŻNY !!! Jeśli nadal próbujesz znaleźć inne rozwiązania problemu, wykonaj kopię zapasową plików, na których chcesz poeksperymentować, i pobaw się nimi. W przeciwnym razie mogą zostać trwale uszkodzone
4. Wszelkie usługi, które oferują Ci pomoc lub po prostu odbierają Ci pieniądze i znikają, lub będą pośrednikami między nami, o zawyżonej wartości. Ponieważ antidotum jest tylko wśród twórców wirusa"

Niektóre warianty ransomware „Job2019@tutanota.com" wyświetlają proste okno dialogowe zamiast „Twoje pliki są zaszyfrowane!" ekran, który mówi:

'Wszystkie twoje pliki są zaszyfrowane
Aby odszyfrować swoje pliki, skontaktuj się z nami za pomocą tego adresu e-mail: [adres e-mail] Ustaw temat „Identyfikator szyfrowania: [8-cyfrowy numer].
Jako dowód oferujemy bezpłatne odszyfrowanie plików testowych. Możesz je dołączyć do swojego e-maila, a my wyślemy Ci odszyfrowane.
Cena deszyfrowania rośnie z czasem, pospiesz się i uzyskaj zniżkę.
Odszyfrowywanie za pomocą stron trzecich może prowadzić do oszustwa lub podwyższenia ceny".

Dane, których dotyczy problem, mogą otrzymać jedno z dwóch rozszerzeń — „.ID-[8-cyfrowy numer].[Job2019@tutanota.com].phobos" lub „.ID-[8-cyfrowy numer].[Job2019@tutanota.com].phobos". . Na przykład nazwa „Sabaton-Carolus Rex.mp3" może zostać zmieniona na „Sabaton-Carolus Rex.mp3.ID-91651720.[Job2019@tutanota.com].phobos" i „Sabaton-Carolus Rex.mp3.ID-68941751". [Job2019@tutanota.com].phobos.' Zalecamy unikanie negocjacji z podmiotami ransomware, ponieważ możesz nie otrzymać deszyfratora. Powinieneś użyć kopii zapasowych danych, aby odbudować strukturę plików i uruchomić pełne skanowanie systemu, aby usunąć zasoby, które mogły zostać pozostawione przez oprogramowanie ransomware „Job2019@tutanota.com".

Skróty

5 dostawców zabezpieczeń oznaczyło ten plik jako złośliwy.

Oprogramowanie antywirusowe Wykrycie
CAT-QuickHeal Win32.Trojan.Obfuscated.gx.3
AVG Downloader.Obfuskated
Prevx1 Covert.Sys.Exec
Microsoft TrojanDownloader:Win32/Agent.ZZC
AntiVir TR/Crypt.XPACK.Gen

Phobos Ransomware zrzutów ekranu

Szczegóły systemu plików

Phobos Ransomware może utworzyć następujące pliki:
# Nazwa pliku MD5 Wykrycia
1. rrr_output7251B30.exe b3b69dabf55cf7a7955960d0c0575c27 72
2. rrr_output713F8B0.exe 29d51846a76a1bfbac91df5af4f7570e 64
3. rrr_output8F2121F.exe 5d533ba319fe6fd540d29cf8366775b1 63
4. rrr_outputEE209BF.exe 3677195abb0dc5e851e9c4bce433c1d2 59
5. rrr_output89A8FEF.exe 75d594f166d438ded4f4f1495a9b57b6 51
6. rrr_output354CF0.exe 360f782f4a688aba05f73b7a0d68ef43 51
7. rrr_output7492970.exe 376625a4a031656f0667723cd601f333 49
8. yvihok.exe 00db62e1b519159b0c20c00c2e97288b 46
9. rrr_outputE17E73F.exe f9ef51967dcb4120df9919ac5423bc13 39
10. rrr_outputDBB65DF.exe cd16baef95d0f47387e7336ceab30e19 32
11. rr_output89224BF.exe fb9df7345520194538db6eef48fb0652 31
12. rrr_outputF71089F.exe 3d5ec29f0374fce02c5816c24907cafe 27
13. rr_output5F98E0.exe 559973f8550ce68f7bae9c3e3aaa26aa 21
14. rrr_outputF0DA6CF.exe f653bc6e6dda82e487bfc4bc5197042b 21
15. rr_output12C4770.exe 45a9b21bd51f52db2b58ae7ae94cd668 18
16. rrr_output940674F.exe b76fbb1b51118459d119d2be049d7aa5 18
17. rrr_output3A9CF40.exe 6fa328484123906a6cfbbf5c6d7f9587 10
18. rrr_outputD25868F.exe b43db466c60b32a1b76fe3095851d026 8
19. rrr_output43F40E0.exe 5c2753e929fa1abaefec2a092f1726a6 7
20. rrr_output43f40e0.exe d1258b39c924746ed711af72e35e8262 5
21. ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe 26c23da3b8683eb3a727d54dcb8ce2f0 5
22. rr_output516C100.exe e8dedea6ce819f863da0c75c9d9bccde 4
23. rrr_output8f0a14f.exe 52e6b8ee647e675969d36b69070d1047 4
Więcej plików

Szczegóły rejestru

Phobos Ransomware może utworzyć następujący wpis rejestru lub wpisy rejestru:
File name without path
svhost..exe
Regexp file mask
%APPDATA%\microsoft\windows\start menu\programs\startup\ph_exec.exe
%appdata%\microsoft\windows\start menu\programs\startup\r{1,5}_outputw{6,8}.exe
%LOCALAPPDATA%\ph_exec.exe
%localappdata%\r{1,5}_outputw{6,8}.exe

powiązane posty

Popularne

Najczęściej oglądane

Ładowanie...