Phobos Ransomware

Phobos Ransomware är en krypterings ransomware Trojan som först observerades den 21 oktober 2017. Phobos Ransomware används för att rikta datoranvändare i Västeuropa och USA och levererar sina lösenmeddelanden på engelska till offren. Det huvudsakliga sättet att distribuera Phobos Ransomware är genom att använda e-postbilagor som kan visas som Microsoft Word-dokument som har aktiverat makron. Dessa makroskript är utformade för att ladda ner och installera Phobos Ransomware på offrets dator när den skadade filen nås. Det är troligt att Phobos Ransomware är ett oberoende hot eftersom det inte verkar tillhöra en stor familj av Ransomware as a Service (RaaS) leverantör.

Denna vecka i Malware Ep2: Phobos Ransomware riktar sig till Västeuropa och USA

Hur man identifierar de filer som är krypterade av Phobos Ransomware

Liksom de flesta andra liknande hot fungerar Phobos Ransomware genom att kryptera offrets filer med en stark krypteringsalgoritm. Krypteringen gör filerna otillgängliga, så att Phobos Ransomware kan ta offrets data som gisslan tills offret betalar en lösen. Phobos Ransomware riktar sig till de användargenererade filerna, som kan innehålla filer med följande tillägg:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Som man kan se från listan ovan riktar sig Phobos Ransomware till dokument, media, bilder och andra vanliga filer och krypterar dem med AES 256-kryptering. Efter att offrets filer har krypterats kommer Phobos Ransomware att kommunicera med sin Command and Control-server för att vidarebefordra data om den infekterade datorn samt ta emot konfigurationsdata. Phobos Ransomware identifierar filerna som krypteras av dess attack genom att ändra deras namn till följande sträng:

..ID [åtta slumpmässiga tecken]. [Ottozimmerman@protonmail.ch] .PHOBOS

Phobos Ransomware lösenkrav

Phobos Ransomware levererar en lösensedel i form av ett programfönster med titeln "Dina filer är krypterade!" efter att offrets filer har krypterats och bytt namn. Detta programfönster innehåller logotypen 'PHOBOS' i ett av fönstrets hörn och hävdar att offret måste betala en lösen för att återställa de infekterade filerna. Återlösningen noterar att Phobos Ransomware visas under dess attack mot ett offrets dator lyder:

'Alla dina filer är krypterade
Hej världen
Data på den här datorn körde in i värdelös binär kod
För att återgå till det normala, vänligen kontakta oss via detta e-postmeddelande: OttoZimmerman@protonmail.ch
Ställ in ämnet för ditt meddelande till 'Krypterings-ID: [8 slumpmässiga tecken]'
Intressanta fakta:
1. Med tiden ökar kostnaden, slösa inte din tid
2. Endast vi kan hjälpa dig, ingen annan.
3. VAR FÖRSIKTIG Om du fortfarande försöker hitta andra lösningar på problemet, gör en säkerhetskopia av de filer du vill experimentera med, a. spela med dem. Annars kan de skadas permanent.
4. Alla tjänster som erbjuder dig hjälp eller bara tar pengar från dig och försvinner, eller de kommer att vara mellanhänder mellan oss, med uppblåst värde. Eftersom motgiften bara är bland skaparna av viruset
FOBER

Att hantera Phobos Ransomware

Tyvärr, när Phobos Ransomware krypterar filerna blir det omöjligt att återställa de drabbade filerna utan dekrypteringsnyckeln. På grund av detta är det viktigt att vidta förebyggande åtgärder för att säkerställa att dina uppgifter är väl skyddade. Det bästa skyddet mot hot som Phobos Ransomware är att ha ett tillförlitligt säkerhetskopieringssystem. Att ha säkerhetskopior av alla filer innebär att offren för Phobos Ransomware-attack kan snabbt och pålitligt återställa sina data efter en attack.

Uppdatera 4 januari 2019 - 'Job2019@tutanota.com' Ransomware

Ransomware 'Job2019@tutanota.com' kategoriseras som en lite uppdaterad variant av Phobos Ransomware som släpptes i oktober 2017 ursprungligen. Ransomware 'Job2019@tutanota.com' visas lite mer än ett år senare utan några betydande uppdateringar att visa. Ransomware 'Job2019@tutanota.com' identifierades i januari 2019 och verkar spridas på samma sätt som sin föregångare. Hotbelastningen levereras genom makroskript inbäddade i Microsoft Word-filer som du kan se bifogade till synes officiella uppdateringar från sociala medier och onlinebutiker. Ransomware 'Job2019@tutanota.com' kommer sannolikt att skapa en tillfällig mapp på den primära systemdriven och ladda en process med ett slumpmässigt namn i Aktivitetshanteraren. Ransomware Trojan 'Job2019@tutanota.com' är konfigurerad för att radera ögonblicksbilder för Shadow Volume innan du kodar dina foton, text, musik och video. Den nya varianten är känd för att främja dekrypteringstjänster via två e-postkonton, nämligen - 'Job2019@tutanota.com' och 'Cadillac.407@aol.com.' Lösenpriset är utformat som ett litet programfönster färgat i samma blå nyans som standardtema för Windows 10. Trojan rapporteras visa ett fönster med namnet 'Dina filer är krypterade !.' Fönstret verkar laddas från 'Phobos.hta', som släpps till Temp-mappen i Windows och lyder:

'Alla dina filer är krypterade
Hej världen
Data på den här datorn blev till en värdelös binär kod
För att återgå till det normala, vänligen kontakta oss via detta e-post: OttoZimmerman@protonmail.ch
Ställ in ämnet för ditt meddelande till 'Krypterings-ID: [8-siffrigt nummer]
1. Med tiden ökar kostnaden, slösa inte din tid
2. Endast vi kan hjälpa dig, ingen annan.
3. VAR FÖRSIKTIG !!! Om du fortfarande försöker hitta andra lösningar på problemet, gör en säkerhetskopia av filerna du vill experimentera med och spela med dem. Annars kan de skadas permanent
4. Alla tjänster som erbjuder dig hjälp eller bara tar pengar från dig och försvinner, eller de kommer att vara mellanhänder mellan oss, med uppblåst värde. Eftersom motgiften endast är bland skaparna av viruset '

Vissa varianter av 'Job2019@tutanota.com' Ransomware sägs producera en enkel dialogruta istället för 'Dina filer är krypterade!' skärm som säger:

'Alla dina filer är krypterade
För att dekryptera dina filer, kontakta oss med hjälp av detta e-postmeddelande: [e-postadress] Ställ in ämnet "Krypterings-ID: [8-siffrigt nummer].
Vi erbjuder gratis dekryptering av dina testfiler som ett bevis. Du kan bifoga dem till ditt e-postmeddelande så skickar vi dig dekrypterade.
Dekrypteringspriset ökar över tiden, skynda dig och få rabatt.
Dekryptering med hjälp av tredje part kan leda till bluff eller ökat pris. '

De berörda uppgifterna kan få en av två tillägg - '.ID- [8-siffrigt nummer]. [Job2019@tutanota.com] .phobos' eller '.ID- [8-siffrigt nummer]. [Job2019@tutanota.com] .phobos . ' Till exempel kan 'Sabaton-Carolus Rex.mp3' byta namn till 'Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos' och 'Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. ' Vi rekommenderar att du undviker förhandlingar med ransomware-aktörerna eftersom du kanske inte får en dekrypterare. Du bör använda säkerhetskopior av data för att bygga upp din filstruktur och köra en fullständig systemskanning för att ta bort de resurser som kan finnas kvar av 'Job2019@tutanota.com' Ransomware.

Phobos Ransomware skärmdumpar