Phobos Ransomware

Cartão de pontuação de ameaças

Nível da Ameaça: 100 % (Alto)
Computadores infectados: 1,621
Visto pela Primeira Vez: July 24, 2009
Visto pela Última Vez: July 16, 2020
SO (s) Afetados: Windows

O Phobos Ransomware é um Trojan ransomware de criptografia que foi observado pela primeira vez em 21 de outubro de 2017. O Phobos Ransomware está sendo usado para atacar os usuários de computadores na Europa Ocidental e nos Estados Unidos e entregar as suas mensagens de resgate em inglês às vítimas. A principal maneira pela qual o Phobos Ransomware está sendo distribuído é através do uso de anexos de e-mail de spam, que podem aparecer como documentos do Microsoft Word que ativaram macros. Esses scripts de macro são projetados para baixar e instalar o Phobos Ransomware no computador da vítima quando o arquivo corrompido é acessado. É provável que o Phobos Ransomware seja uma ameaça independente, uma vez que não parece pertencer a uma vasta família de provedores de Ransomware como um Serviço (RcuS).

Como Identificar os Arquivos Criptografados pelo Phobos Ransomware

Como a maioria das outras ameaças semelhantes, o Phobos Ransomware funciona criptografando os arquivos da vítima usando um algoritmo de criptografia forte. A criptografia torna os arquivos inacessíveis, permitindo que o Phobos Ransomware tome como reféns os dados da vítima até que a vítima pague um resgate. O Phobos Ransomware terá como alvo os arquivos gerados pelo usuário, que podem incluir arquivos com as seguintes extensões:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Como pode ser observado na lista acima, o Phobos Ransomware tem como alvo documentos, mídia, imagens e outros arquivos comumente usados, e os criptografa usando a criptografia AES 256. Depois que os arquivos da vítima forem criptografados, o Phobos Ransomware se comunicará com o seu servidor de Comando e Controle para transmitir dados sobre o computador infectado, além de receber dados de configuração. O Phobos Ransomware identificará os arquivos criptografados pelo seu ataque alterando os seus nomes para a seguinte string:

..ID [oito caracteres aleatórios]. [Ottozimmerman@protonmail.ch] .PHOBOS

O Pedido de Resgate do Phobos Ransomware

O Phobos Ransomware fornece uma nota de resgate na forma de uma janela de programa com o título 'Seus arquivos estão criptografados!' depois que os arquivos da vítima forem criptografados e renomeados. Essa janela de programa inclui o logotipo 'PHOBOS' em um dos cantos da janela e afirma que a vítima deve pagar um resgate para restaurar os arquivos infectados. A nota de resgate que o Phobos Ransomware exibe durante o ataque ao computador da vítima diz:

'Todos os seus arquivos são criptografados
Olá Mundo
Os dados neste PC foram introduzidos em código binário inútil
Para voltar ao normal, entre em contato pelo email: OttoZimmerman@protonmail.ch
Defina o tópico da sua mensagem como "ID da criptografia: [8 caracteres aleatórios]"
Fatos interessantes:
1. Com o tempo, o custo aumenta, não perca seu tempo
2. Só nós podemos ajudá-lo, com certeza, ninguém mais.
3. TENHA CUIDADO Se você ainda tentar encontrar outras soluções para o problema, faça uma cópia de backup dos arquivos que deseja experimentar, a. brincar com eles. Caso contrário, eles podem ser permanentemente danificados.
4. Qualquer serviço que ofereça ajuda ou simplesmente tire dinheiro de você e desapareça, ou eles serão intermediários entre nós, com valor inflacionado. Já que o antídoto é apenas entre os criadores do vírus
PHOBOS

Lidando com o Phobos Ransomware

Infelizmente, uma vez que o Phobos Ransomware criptografa os arquivos, torna-se impossível restaurar os arquivos afetados sem a chave de descriptografia. Por isso, é importante tomar medidas preventivas para garantir que os seus dados estejam bem protegidos. A melhor proteção contra ameaças como o Phobos Ransomware é ter um sistema de backup confiável. Ter cópias de backup de todos os arquivos significa que as vítimas do ataque Phobos Ransomware podem restaurar os seus dados após um ataque de forma rápida e confiável.

Atualização de 4 de janeiro de 2019 - 'Job2019@tutanota.com' Ransomware

O 'Job2019@tutanota.com' Ransomware é categorizado como uma variante ligeiramente atualizada do Phobos Ransomware que foi lançado em outubro de 2017 inicialmente. O 'Job2019@tutanota.com' Ransomware apareceu um pouco mais de um ano depois, sem atualizações significativas para mostrar. O 'Job2019@tutanota.com' Ransomware foi identificado em janeiro de 2019 e parece se espalhar da mesma maneira que o seu antecessor. A carga útil da ameaça é fornecida por meio de scripts de macros incorporados em arquivos do Microsoft Word que você pode ver anexados a atualizações aparentemente oficiais de mídias sociais e lojas on-line. É provável que o 'Job2019@tutanota.com' Ransomware crie uma pasta temporária na unidade do sistema principal e carregue um processo com um nome aleatório no Gerenciador de Tarefas. O Trojan 'Job2019@tutanota.com' Ransomware está configurado para excluir os instantâneos do Shadow Volume antes de codificar as suas fotos, texto, música e vídeo. A nova variante é conhecida por promover serviços de descriptografia através de duas contas de e-mail, a saber - 'Job2019@tutanota.com' e 'Cadillac.407@aol.com'. A nota de resgate é exibida como uma pequena janela de programa colorida no mesmo tom de azul que o tema padrão do Windows 10 usa. O Trojan mostra uma janela chamada "Seus arquivos estão criptografados!" A janela parece ser carregada do 'Phobos.hta', que é colocado na pasta Temp no Windows e diz:

'Todos os seus arquivos estão criptografados
Olá Mundo
Os dados neste PC se transformaram em um código binário inútil
Para voltar ao normal, entre em contato pelo e-mail: OttoZimmerman@protonmail.ch
Defina o tópico da sua mensagem como "ID da criptografia: [número com 8 dígitos]
1. Com o tempo, o custo aumenta, não perca seu tempo
2. Só nós podemos ajudá-lo, com certeza, ninguém mais.
3. TENHA CUIDADO !!! Se você ainda tentar encontrar outras soluções para o problema, faça uma cópia de backup dos arquivos que deseja experimentar e brinque com eles. Caso contrário, eles podem ser permanentemente danificados
4. Qualquer serviço que ofereça ajuda ou simplesmente tire dinheiro de você e desapareça, ou eles serão intermediários entre nós, com valor inflacionado. Desde que o antídoto é apenas entre os criadores do vírus '

Algumas variantes do 'Job2019@tutanota.com' Ransomware criam uma caixa de diálogo simples em vez do 'Seus arquivos estão criptografados!' em tela que diz:

'Todos os seus arquivos são criptografados
Para descriptografar seus arquivos, entre em contato conosco usando este e-mail: [endereço de e-mail] Defina o tópico 'ID de criptografia: [número de 8 dígitos].
Oferecemos a decodificação gratuita de seus arquivos de teste como prova. Você pode anexá-los ao seu e-mail e nós lhe enviaremos os descriptografados.
O decréscimo do preço aumenta com o tempo, apresse-se e ganhe desconto.
A descriptografia usando terceiros pode levar a fraude ou aumento de preço.

Os dados afetados podem receber uma das duas extensões - '.ID-[número de 8 dígitos]. [Job2019@tutanota.com].phobos' ou '.ID-[número de 8 dígitos].[Job2019@tutanota.com].phobos' Por exemplo, 'Sabaton-Carolus Rex.mp3' pode ser renomeado como 'Sabaton-Carolus Rex.mp3.ID-91651720.[Job2019@tutanota.com].phobos' e 'Sabaton-Carolus Rex.mp3.ID-68941751.[Job2019@tutanota.com].phobos.' Recomendamos evitar negociações com os criadores de ransomware, porque você pode não receber um decodificador. Você deve usar backups dos dados para reconstruir an sua estrutura de arquivos e executar uma verificação completa do sistema para remover os arquivos que podem ter sido deixados pelo 'Job2019@tutanota.com' Ransomware.

Outros Nomes

5 fornecedores de segurança sinalizaram este arquivo como malicioso.

Software antivírus Detecção
CAT-QuickHeal Win32.Trojan.Obfuscated.gx.3
AVG Downloader.Obfuskated
Prevx1 Covert.Sys.Exec
Microsoft TrojanDownloader:Win32/Agent.ZZC
AntiVir TR/Crypt.XPACK.Gen

Phobos Ransomware capturas de tela

phobos ransomware

Detalhes Sobre os Arquivos do Sistema

Phobos Ransomware pode criar o(s) seguinte(s) arquivo(s):
# Nome do arquivo MD5 Detecções
1. rrr_output7251B30.exe b3b69dabf55cf7a7955960d0c0575c27 72
2. rrr_output713F8B0.exe 29d51846a76a1bfbac91df5af4f7570e 64
3. rrr_output8F2121F.exe 5d533ba319fe6fd540d29cf8366775b1 63
4. rrr_outputEE209BF.exe 3677195abb0dc5e851e9c4bce433c1d2 59
5. rrr_output89A8FEF.exe 75d594f166d438ded4f4f1495a9b57b6 51
6. rrr_output354CF0.exe 360f782f4a688aba05f73b7a0d68ef43 51
7. rrr_output7492970.exe 376625a4a031656f0667723cd601f333 49
8. yvihok.exe 00db62e1b519159b0c20c00c2e97288b 46
9. rrr_outputE17E73F.exe f9ef51967dcb4120df9919ac5423bc13 39
10. rrr_outputDBB65DF.exe cd16baef95d0f47387e7336ceab30e19 32
11. rr_output89224BF.exe fb9df7345520194538db6eef48fb0652 31
12. rrr_outputF71089F.exe 3d5ec29f0374fce02c5816c24907cafe 27
13. rr_output5F98E0.exe 559973f8550ce68f7bae9c3e3aaa26aa 21
14. rrr_outputF0DA6CF.exe f653bc6e6dda82e487bfc4bc5197042b 21
15. rr_output12C4770.exe 45a9b21bd51f52db2b58ae7ae94cd668 18
16. rrr_output940674F.exe b76fbb1b51118459d119d2be049d7aa5 18
17. rrr_output3A9CF40.exe 6fa328484123906a6cfbbf5c6d7f9587 10
18. rrr_outputD25868F.exe b43db466c60b32a1b76fe3095851d026 8
19. rrr_output43F40E0.exe 5c2753e929fa1abaefec2a092f1726a6 7
20. rrr_output43f40e0.exe d1258b39c924746ed711af72e35e8262 5
21. ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe 26c23da3b8683eb3a727d54dcb8ce2f0 5
22. rr_output516C100.exe e8dedea6ce819f863da0c75c9d9bccde 4
23. rrr_output8f0a14f.exe 52e6b8ee647e675969d36b69070d1047 4
Arquivos Adicionais

Detalhes sobre o Registro

Phobos Ransomware pode criar a seguinte entrada de registro ou entradas de registro:
File name without path
svhost..exe
Regexp file mask
%APPDATA%\microsoft\windows\start menu\programs\startup\ph_exec.exe
%appdata%\microsoft\windows\start menu\programs\startup\r{1,5}_outputw{6,8}.exe
%LOCALAPPDATA%\ph_exec.exe
%localappdata%\r{1,5}_outputw{6,8}.exe

Postagens Relacionadas

Tendendo

Mais visto

Carregando...