База данных угроз Ransomware Программа-вымогатель Phobos

Программа-вымогатель Phobos

Карта показателей угрозы

Уровень угрозы: 100 % (Высокая)
Зараженные компьютеры: 1,621
Первый раз: July 24, 2009
Последний визит: July 16, 2020
ОС(а) Затронутые: Windows

Phobos Ransomware - это троян-вымогатель-шифровальщик, который впервые был обнаружен 21 октября 2017 года. Программа-вымогатель Phobos используется для нацеливания на пользователей компьютеров в Западной Европе и США и доставляет жертвам сообщения о выкупе на английском языке. Основной способ распространения программы-вымогателя Phobos - использование вложений в спам-сообщения электронной почты, которые могут отображаться как документы Microsoft Word с включенными макросами. Эти макросы предназначены для загрузки и установки программы-вымогателя Phobos на компьютер жертвы при доступе к поврежденному файлу. Вероятно, что программа-вымогатель Phobos представляет собой независимую угрозу, поскольку она, похоже, не принадлежит к обширному семейству поставщиков программ-вымогателей как услуги (RaaS).


На этой неделе в Malware Ep2: Phobos Ransomware нацелен на Западную Европу и США

Как определить файлы, зашифрованные программой-вымогателем Phobos

Как и большинство других подобных угроз, программа-вымогатель Phobos работает путем шифрования файлов жертвы с помощью надежного алгоритма шифрования. Шифрование делает файлы недоступными, позволяя программе-вымогателю Phobos взять в заложники данные жертвы, пока жертва не заплатит выкуп. Программа-вымогатель Phobos будет нацелена на файлы, созданные пользователями, которые могут включать файлы со следующими расширениями:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Как видно из приведенного выше списка, программа-вымогатель Phobos нацелена на документы, мультимедиа, изображения и другие часто используемые файлы и шифрует их с помощью шифрования AES 256. После того, как файлы жертвы будут зашифрованы, программа-вымогатель Phobos свяжется со своим сервером управления и контроля, чтобы передать данные о зараженном компьютере, а также получить данные конфигурации. Программа-вымогатель Phobos идентифицирует файлы, зашифрованные его атакой, изменяя их имена на следующую строку:

..ID [восемь случайных символов]. [Ottozimmerman@protonmail.ch] .PHOBOS

Требование выкупа программы-вымогателя Phobos

Программа-вымогатель Phobos отправляет записку о выкупе в виде окна программы с заголовком «Ваши файлы зашифрованы!» после того, как файлы жертвы были зашифрованы и переименованы. Это окно программы включает логотип PHOBOS в одном из углов окна и утверждает, что жертва должна заплатить выкуп, чтобы восстановить зараженные файлы. В записке о выкупе, отображаемой программой-вымогателем Phobos во время атаки на компьютер жертвы, говорится:

'Все ваши файлы зашифрованы
Привет мир
Данные на этом ПК превращены в бесполезный двоичный код
Чтобы вернуться в нормальное состояние, свяжитесь с нами по электронной почте: OttoZimmerman@protonmail.ch
В качестве темы сообщения укажите "Идентификатор шифрования: [8 случайных символов]".
Интересные факты:
1. Со временем стоимость увеличивается, не тратьте зря время
2. Только мы можем вам помочь, никто другой.
3. БУДЬТЕ ОСТОРОЖНЫ. Если вы все же пытаетесь найти другие решения проблемы, сделайте резервную копию файлов, над которыми вы хотите поэкспериментировать, a. играть с ними. В противном случае они могут быть безвозвратно повреждены.
4. Любые услуги, которые предлагают вам помощь или просто берут у вас деньги и исчезают, или они будут посредниками между нами, с завышенной стоимостью. Поскольку противоядие есть только у создателей вируса
ФОБОС

Работа с программой-вымогателем Phobos

К сожалению, после того, как Phobos Ransomware зашифрует файлы, невозможно восстановить поврежденные файлы без ключа дешифрования. По этой причине важно принять превентивные меры, чтобы обеспечить надежную защиту ваших данных. Лучшая защита от таких угроз, как Phobos Ransomware, - это наличие надежной системы резервного копирования. Наличие резервных копий всех файлов означает, что жертвы атаки Phobos Ransomware могут быстро и надежно восстановить свои данные после атаки.

Обновление от 4 января 2019 г. - программа-вымогатель Job2019@tutanota.com

Программа-вымогатель Job2019@tutanota.com относится к слегка обновленной версии программы-вымогателя Phobos, которая изначально была выпущена в октябре 2017 года. Программа-вымогатель Job2019@tutanota.com появляется чуть больше года спустя без каких-либо значительных обновлений. Программа-вымогатель Job2019@tutanota.com была обнаружена в январе 2019 года и, похоже, распространяется так же, как и ее предшественник. Полезная нагрузка угрозы доставляется с помощью макросов, встроенных в файлы Microsoft Word, которые вы можете видеть прикрепленными к, казалось бы, официальным обновлениям из социальных сетей и интернет-магазинов. Программа-вымогатель Job2019@tutanota.com, скорее всего, создаст временную папку на основном системном диске и загрузит процесс со случайным именем в диспетчере задач. Троян-вымогатель Job2019@tutanota.com настроен на удаление снимков теневого объема перед кодированием ваших фотографий, текста, музыки и видео. Известно, что новый вариант продвигает услуги дешифрования через две учетные записи электронной почты, а именно - «Job2019@tutanota.com» и «Cadillac.407@aol.com». Записка с требованием выкупа оформлена в виде небольшого окна программы, окрашенного в тот же оттенок синего, что и тема Windows 10 по умолчанию. Сообщается, что троянец показывает окно с названием «Ваши файлы зашифрованы!». Окно кажется загруженным из Phobos.hta, который помещается в папку Temp в Windows и гласит:

'Все ваши файлы зашифрованы
Привет мир
Данные на этом ПК превратились в бесполезный двоичный код
Чтобы вернуться в нормальное состояние, свяжитесь с нами по этому адресу электронной почты: OttoZimmerman@protonmail.ch
В качестве темы сообщения укажите "Идентификатор шифрования: [8-значное число]".
1. Со временем стоимость увеличивается, не тратьте время зря
2. Только мы можем вам помочь, никто другой.
3. БУДЬТЕ ВНИМАТЕЛЬНЫ !!! Если вы все же пытаетесь найти другие решения проблемы, сделайте резервную копию файлов, над которыми хотите поэкспериментировать, и поиграйте с ними. В противном случае они могут быть безвозвратно повреждены.
4. Любые услуги, которые предлагают вам помощь или просто берут у вас деньги и исчезают, или они будут посредниками между нами, с завышенной стоимостью. Поскольку противоядие есть только у создателей вируса »

Говорят, что некоторые варианты программы-вымогателя Job2019@tutanota.com создают простое диалоговое окно вместо сообщения «Ваши файлы зашифрованы!» экран, который говорит:

'Все ваши файлы зашифрованы
Чтобы расшифровать файлы, свяжитесь с нами, используя этот адрес электронной почты: [адрес электронной почты] Укажите тему «Идентификатор шифрования: [8-значное число].
В качестве доказательства мы предлагаем бесплатную расшифровку ваших тестовых файлов. Вы можете прикрепить их к своему электронному письму, и мы пришлем вам расшифрованные.
Цена расшифровки со временем увеличивается, поторопитесь и получите скидку.
Расшифровка с использованием третьих лиц может привести к мошенничеству или увеличению цены ».

Затронутые данные могут получить одно из двух расширений - '.ID- [8-значный номер]. [Job2019@tutanota.com] .phobos' или '.ID- [8-значный номер]. [Job2019@tutanota.com] .phobos . ' Например, «Sabaton-Carolus Rex.mp3» можно переименовать в «Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos» и «Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. ' Мы рекомендуем избегать переговоров с участниками программы-вымогателя, потому что вы можете не получить дешифратор. Вы должны использовать резервные копии данных, чтобы восстановить структуру файлов и выполнить полное сканирование системы, чтобы удалить ресурсы, которые могли быть оставлены программой-вымогателем Job2019@tutanota.com.

Псевдонимы

5 поставщиков средств безопасности отметили этот файл как вредоносный.

Программа-антивирус Обнаружение
CAT-QuickHeal Win32.Trojan.Obfuscated.gx.3
AVG Downloader.Obfuskated
Prevx1 Covert.Sys.Exec
Microsoft TrojanDownloader:Win32/Agent.ZZC
AntiVir TR/Crypt.XPACK.Gen

Программа-вымогатель Phobos Скриншотов

Сведения о файловой системе

Программа-вымогатель Phobos может создавать следующие файлы:
# Имя файла MD5 Обнаружения
1. rrr_output7251B30.exe b3b69dabf55cf7a7955960d0c0575c27 72
2. rrr_output713F8B0.exe 29d51846a76a1bfbac91df5af4f7570e 64
3. rrr_output8F2121F.exe 5d533ba319fe6fd540d29cf8366775b1 63
4. rrr_outputEE209BF.exe 3677195abb0dc5e851e9c4bce433c1d2 59
5. rrr_output89A8FEF.exe 75d594f166d438ded4f4f1495a9b57b6 51
6. rrr_output354CF0.exe 360f782f4a688aba05f73b7a0d68ef43 51
7. rrr_output7492970.exe 376625a4a031656f0667723cd601f333 49
8. yvihok.exe 00db62e1b519159b0c20c00c2e97288b 46
9. rrr_outputE17E73F.exe f9ef51967dcb4120df9919ac5423bc13 39
10. rrr_outputDBB65DF.exe cd16baef95d0f47387e7336ceab30e19 32
11. rr_output89224BF.exe fb9df7345520194538db6eef48fb0652 31
12. rrr_outputF71089F.exe 3d5ec29f0374fce02c5816c24907cafe 27
13. rr_output5F98E0.exe 559973f8550ce68f7bae9c3e3aaa26aa 21
14. rrr_outputF0DA6CF.exe f653bc6e6dda82e487bfc4bc5197042b 21
15. rr_output12C4770.exe 45a9b21bd51f52db2b58ae7ae94cd668 18
16. rrr_output940674F.exe b76fbb1b51118459d119d2be049d7aa5 18
17. rrr_output3A9CF40.exe 6fa328484123906a6cfbbf5c6d7f9587 10
18. rrr_outputD25868F.exe b43db466c60b32a1b76fe3095851d026 8
19. rrr_output43F40E0.exe 5c2753e929fa1abaefec2a092f1726a6 7
20. rrr_output43f40e0.exe d1258b39c924746ed711af72e35e8262 5
21. ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe 26c23da3b8683eb3a727d54dcb8ce2f0 5
22. rr_output516C100.exe e8dedea6ce819f863da0c75c9d9bccde 4
23. rrr_output8f0a14f.exe 52e6b8ee647e675969d36b69070d1047 4
Больше файлов

Детали реестра

Программа-вымогатель Phobos может создать следующую запись или записи реестра:
File name without path
svhost..exe
Regexp file mask
%APPDATA%\microsoft\windows\start menu\programs\startup\ph_exec.exe
%appdata%\microsoft\windows\start menu\programs\startup\r{1,5}_outputw{6,8}.exe
%LOCALAPPDATA%\ph_exec.exe
%localappdata%\r{1,5}_outputw{6,8}.exe

В тренде

Наиболее просматриваемые

Загрузка...