Программа-вымогатель Phobos

Программа-вымогатель Phobos Описание

Скриншот программы-вымогателя Фобос. Phobos Ransomware - это троян-вымогатель-шифровальщик, который впервые был обнаружен 21 октября 2017 года. Программа-вымогатель Phobos используется для нацеливания на пользователей компьютеров в Западной Европе и США и доставляет жертвам сообщения о выкупе на английском языке. Основной способ распространения программы-вымогателя Phobos - использование вложений в спам-сообщения электронной почты, которые могут отображаться как документы Microsoft Word с включенными макросами. Эти макросы предназначены для загрузки и установки программы-вымогателя Phobos на компьютер жертвы при доступе к поврежденному файлу. Вероятно, что программа-вымогатель Phobos представляет собой независимую угрозу, поскольку она, похоже, не принадлежит к обширному семейству поставщиков программ-вымогателей как услуги (RaaS).


На этой неделе в Malware Ep2: Phobos Ransomware нацелен на Западную Европу и США

Как определить файлы, зашифрованные программой-вымогателем Phobos

Как и большинство других подобных угроз, программа-вымогатель Phobos работает путем шифрования файлов жертвы с помощью надежного алгоритма шифрования. Шифрование делает файлы недоступными, позволяя программе-вымогателю Phobos взять в заложники данные жертвы, пока жертва не заплатит выкуп. Программа-вымогатель Phobos будет нацелена на файлы, созданные пользователями, которые могут включать файлы со следующими расширениями:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Как видно из приведенного выше списка, программа-вымогатель Phobos нацелена на документы, мультимедиа, изображения и другие часто используемые файлы и шифрует их с помощью шифрования AES 256. После того, как файлы жертвы будут зашифрованы, программа-вымогатель Phobos свяжется со своим сервером управления и контроля, чтобы передать данные о зараженном компьютере, а также получить данные конфигурации. Программа-вымогатель Phobos идентифицирует файлы, зашифрованные его атакой, изменяя их имена на следующую строку:

..ID [восемь случайных символов]. [Ottozimmerman@protonmail.ch] .PHOBOS

Требование выкупа программы-вымогателя Phobos

Программа-вымогатель Phobos отправляет записку о выкупе в виде окна программы с заголовком «Ваши файлы зашифрованы!» после того, как файлы жертвы были зашифрованы и переименованы. Это окно программы включает логотип PHOBOS в одном из углов окна и утверждает, что жертва должна заплатить выкуп, чтобы восстановить зараженные файлы. В записке о выкупе, отображаемой программой-вымогателем Phobos во время атаки на компьютер жертвы, говорится:

'Все ваши файлы зашифрованы
Привет мир
Данные на этом ПК превращены в бесполезный двоичный код
Чтобы вернуться в нормальное состояние, свяжитесь с нами по электронной почте: OttoZimmerman@protonmail.ch
В качестве темы сообщения укажите "Идентификатор шифрования: [8 случайных символов]".
Интересные факты:
1. Со временем стоимость увеличивается, не тратьте зря время
2. Только мы можем вам помочь, никто другой.
3. БУДЬТЕ ОСТОРОЖНЫ. Если вы все же пытаетесь найти другие решения проблемы, сделайте резервную копию файлов, над которыми вы хотите поэкспериментировать, a. играть с ними. В противном случае они могут быть безвозвратно повреждены.
4. Любые услуги, которые предлагают вам помощь или просто берут у вас деньги и исчезают, или они будут посредниками между нами, с завышенной стоимостью. Поскольку противоядие есть только у создателей вируса
ФОБОС

Работа с программой-вымогателем Phobos

К сожалению, после того, как Phobos Ransomware зашифрует файлы, невозможно восстановить поврежденные файлы без ключа дешифрования. По этой причине важно принять превентивные меры, чтобы обеспечить надежную защиту ваших данных. Лучшая защита от таких угроз, как Phobos Ransomware, - это наличие надежной системы резервного копирования. Наличие резервных копий всех файлов означает, что жертвы атаки Phobos Ransomware могут быстро и надежно восстановить свои данные после атаки.

Обновление от 4 января 2019 г. - программа-вымогатель Job2019@tutanota.com

Программа-вымогатель Job2019@tutanota.com относится к слегка обновленной версии программы-вымогателя Phobos, которая изначально была выпущена в октябре 2017 года. Программа-вымогатель Job2019@tutanota.com появляется чуть больше года спустя без каких-либо значительных обновлений. Программа-вымогатель Job2019@tutanota.com была обнаружена в январе 2019 года и, похоже, распространяется так же, как и ее предшественник. Полезная нагрузка угрозы доставляется с помощью макросов, встроенных в файлы Microsoft Word, которые вы можете видеть прикрепленными к, казалось бы, официальным обновлениям из социальных сетей и интернет-магазинов. Программа-вымогатель Job2019@tutanota.com, скорее всего, создаст временную папку на основном системном диске и загрузит процесс со случайным именем в диспетчере задач. Троян-вымогатель Job2019@tutanota.com настроен на удаление снимков теневого объема перед кодированием ваших фотографий, текста, музыки и видео. Известно, что новый вариант продвигает услуги дешифрования через две учетные записи электронной почты, а именно - «Job2019@tutanota.com» и «Cadillac.407@aol.com». Записка с требованием выкупа оформлена в виде небольшого окна программы, окрашенного в тот же оттенок синего, что и тема Windows 10 по умолчанию. Сообщается, что троянец показывает окно с названием «Ваши файлы зашифрованы!». Окно кажется загруженным из Phobos.hta, который помещается в папку Temp в Windows и гласит:

'Все ваши файлы зашифрованы
Привет мир
Данные на этом ПК превратились в бесполезный двоичный код
Чтобы вернуться в нормальное состояние, свяжитесь с нами по этому адресу электронной почты: OttoZimmerman@protonmail.ch
В качестве темы сообщения укажите "Идентификатор шифрования: [8-значное число]".
1. Со временем стоимость увеличивается, не тратьте время зря
2. Только мы можем вам помочь, никто другой.
3. БУДЬТЕ ВНИМАТЕЛЬНЫ !!! Если вы все же пытаетесь найти другие решения проблемы, сделайте резервную копию файлов, над которыми хотите поэкспериментировать, и поиграйте с ними. В противном случае они могут быть безвозвратно повреждены.
4. Любые услуги, которые предлагают вам помощь или просто берут у вас деньги и исчезают, или они будут посредниками между нами, с завышенной стоимостью. Поскольку противоядие есть только у создателей вируса »

Говорят, что некоторые варианты программы-вымогателя Job2019@tutanota.com создают простое диалоговое окно вместо сообщения «Ваши файлы зашифрованы!» экран, который говорит:

'Все ваши файлы зашифрованы
Чтобы расшифровать файлы, свяжитесь с нами, используя этот адрес электронной почты: [адрес электронной почты] Укажите тему «Идентификатор шифрования: [8-значное число].
В качестве доказательства мы предлагаем бесплатную расшифровку ваших тестовых файлов. Вы можете прикрепить их к своему электронному письму, и мы пришлем вам расшифрованные.
Цена расшифровки со временем увеличивается, поторопитесь и получите скидку.
Расшифровка с использованием третьих лиц может привести к мошенничеству или увеличению цены ».

Затронутые данные могут получить одно из двух расширений - '.ID- [8-значный номер]. [Job2019@tutanota.com] .phobos' или '.ID- [8-значный номер]. [Job2019@tutanota.com] .phobos . ' Например, «Sabaton-Carolus Rex.mp3» можно переименовать в «Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos» и «Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. ' Мы рекомендуем избегать переговоров с участниками программы-вымогателя, потому что вы можете не получить дешифратор. Вы должны использовать резервные копии данных, чтобы восстановить структуру файлов и выполнить полное сканирование системы, чтобы удалить ресурсы, которые могли быть оставлены программой-вымогателем Job2019@tutanota.com.