PhobosImposter Ransomware

O PhobosImposter Ransomware está entre as ameaças de ransomware mais recentemente detectadas, que estão à espreita na Web em busca de novas vítimas. Muitos cibercriminosos optam por criar e distribuir ameaças desse tipo porque costumam ser vistos como uma maneira de gerar dinheiro rápido, sem o risco de serem pegos. Ainda não está claro se o PhobosImposter Ransomware é uma variante de qualquer uma das famílias populares de ransomware. Isso ocorre apesar dos invasores tentarem mascarar sua ameaça como uma cópia do famoso Phobos Ransomware claramente. Provavelmente, isso é feito porque esse notório Trojan de criptografia de dados causa medo nos corações dos usuários on-line em todo o mundo.

Propagação e Criptografia

Os pesquisadores de malware ainda não identificaram os vetores exatos de infecção, responsáveis pela disseminação do PhobosImposter Ransomware. Os criadores dessa ameaça podem estar aproveitando algumas das maneiras mais populares ou propagando Trojans de bloqueio de arquivos. Um desses métodos, e sem dúvida o mais popular, é por meio de campanhas de spam por email. Os invasores usam várias técnicas de engenharia social ao personalizar a mensagem no email, de modo a aumentar a probabilidade de convencer o usuário a iniciar o arquivo anexado. Geralmente, esses arquivos são com macros e, quando abertos, acionariam a execução da ameaça. Outra técnica comum de espalhar ameaças de ransomware é usar cópias piratas falsas de aplicativos populares como vetor de infecção. É por isso que os pesquisadores de malware continuam alertando os usuários contra o download de software e mídia pirateados - isso oculta grandes riscos. Quando o PhobosImposter Ransomware comprometer o host de destino, ele começará a verificar todos os arquivos existentes. Isso é feito para que o PhobosImposter Ransomware marque todos os arquivos, que correspondem aos tipos de arquivos que seus criadores o programaram para atingir. A lista de tipos de arquivos direcionados geralmente é muito longa porque os autores de ransomware pretendem causar o máximo de danos possível. Em seguida, o PhobosImposter Ransomware começará seu processo de criptografia. Os arquivos direcionados serão bloqueados usando um algoritmo de criptografia complexo. Todos os arquivos bloqueados receberão uma extensão adicional no final de seus nomes de arquivos - '.phobos'. Por exemplo, se você tiver nomeado uma imagem 'sunset-hill.jpeg', o PhobosImposter Ransomware alterará seu nome para 'sunset-hill.jpeg.phobos'.

A Nota de Resgate

Quando o processo de criptografia estiver concluído, o PhobosImposter Ransomware continuará a exibir a sua nota de resgate na área de trabalho da vítima. A nota é denominada 'Restore-My-Files.txt'. Na mensagem, os criadores dessa ameaça de ransomware garantem às vítimas que todos os seus dados foram criptografados e seus arquivos serão danificados permanentemente se o usuário tentar desbloqueá-los com um aplicativo de terceiros. Os atacantes não mencionaram uma quantia específica em relação à taxa de resgate. No entanto, eles observam que o preço dependerá da rapidez com que a vítima conseguir entrar em contato com ela no e-mail fornecido - 'phomen@cock.li'. Como a maioria dos autores de ameaças de ransomware, os criadores do PhobosImposter Ransomware exigem que a taxa de resgate seja paga via Bitcoin, pois isso protegeria seu anonimato. Para usuários que podem não estar acostumados com a criptomoeda e como obter o Bitcoin, eles anexaram um guia que os guiará pelo processo. Como prova de que os invasores possuem uma chave de descriptografia ativa, eles sugerem que o usuário envie dois arquivos, que serão descriptografados gratuitamente, desde que o tamanho não exceda 1 MB. Os arquivos também não devem conter nenhuma informação que possa ser considerada valiosa.

É sempre aconselhável manter distância quando se trata de lidar com cibercriminosos. Compreensivelmente, essas pessoas não estão entre as pessoas mais honestas e são conhecidas por cumprir raramente suas promessas. É por isso que, em vez de pagar criminosos cibernéticos como os do PhobosImposter Ransomware, você deve baixar e instalar uma ferramenta anti-malware legítima e usá-la para remover a ameaça do seu PC com segurança.