Čo je škodlivý softvér Phobos (04.26.24)

Phobos je malware typu ransomware, ktorý šifruje súbor používateľa pomocou 256-bitového šifrovacieho štandardu AES. Potom požaduje, aby časť obete s výkupnou, ktorá musí byť vyplatená v bitcoinoch.

Spoločnosť Phobos bola prvýkrát spozorovaná v roku 2019 a je pripísaná rovnakej hackerskej skupine, ktorá je zodpovedná za ransomvér Dharma. Väčšinou sa distribuuje prostredníctvom hacknutých pripojení k vzdialenej ploche.

Phobos šifruje rôzne súbory vrátane spustiteľných súborov. Zašifrované súbory majú zvyčajne tiež pridaný e-mail útočníka. Všeobecný postup šifrovania je: .id [-] [] ..

Čo môže robiť vírus Phobos Malware?

Rovnako ako Dharma, aj Phobos infikuje počítače využívaním zle zabezpečených portov RDP na infiltráciu do sietí a na vykonávanie útok ransomvéru.

Po zašifrovaní súborov s príponou .phobos potom ransomvér požiada o vyplatenie výkupnej sumy v bitcoinoch na tmavú webovú adresu, ktorá sa zdieľa prostredníctvom dokumentu readme.txt. Niektoré obete malvéru boli požiadané, aby zaplatili až 3 000 dolárov za možnosť získať svoje súbory späť.

Pred spustením šifrovania zabije entita škodlivého softvéru procesy, ktoré by mohli blokovať prístup k súborom, ktoré sú zamerané na šifrovanie. Nasleduje úplný zoznam zabitých procesov:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • sqlwriter.exeoracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

Nasledujúci obrázok ukazuje fragment kódu škodlivého softvéru Phobos a spôsob, akým riadi proces usmrcovania:

Jeden z dôvodov, prečo sú zločinci schopní zistiť, že entity škodlivého softvéru Dharma a Phobos sú vytvárané rovnakými skupina napriek tomu, že majú odlišný kód, je skutočnosť, že zdieľajú rovnaké výkupné. Písmo a text sú rovnaké.

Ako odstrániť malvér Phobos

Najlepším spôsobom, ako sa vysporiadať s malvérom Phobos, je nasadiť anti-malware riešenie a zdržať sa kontaktu s počítačovými zločincami. Je pravda, že zaplatenie výkupného vám môže ušetriť bolesť pri strate súborov, ale nie je to ideálne riešenie.

Počítačoví zločinci nemôžu dôverovať tým, že dodajú dešifrovacie kľúče, a aj keby mohli, umožňuje to s väčšou pravdepodobnosťou útočia v budúcnosti tak, ako vy a ostatní, ktorí sa rozhodnú platiť, povzbuďte ich k tomu.

Zistilo sa, že riešenia proti malvéru sú účinnejšie proti vírusom, keď je počítač zapnutý. Bezpečnostný mód. Je to tak preto, lebo Núdzový režim prevádzkuje iba minimum aplikácií a nastavení systému Windows, a preto zaväzuje ďalšie výpočtové stimuly k lovu entity škodlivého softvéru.

Je známe, že ransomvér Phobos tiež používa niekoľko pretrvávajúcich procesov, napríklad ako inštalácia do priečinka% APPDATA% a Startup, kde do automatického spustenia pridá kľúče spúšťacieho registra. V núdzovom režime sú položky automatického spustenia zakázané.

Ďalším softvérom, ktorý budete možno potrebovať pri boji s malvérom Phobos, je nástroj na opravu PC. Vyčistí váš počítač aj opraví rozbité záznamy v registri.

Ako chrániť počítač pred škodlivým softvérom Phobos

V rámci tohto sprievodcu odstránením škodlivého softvéru Phobos sa s vami podelíme aj o niekoľko rád, ako sa mu vyhnúť infekcia ransomvérom. Ransomvér Phobos sa väčšinou zameriava na právnické osoby, ktoré používajú prístup pomocou protokolu RDP (Remote Desktop Protocol). Podniky teda môžu skontrolovať, kde bol povolený protokol RDP, a buď deaktivovať, alebo sa ubezpečiť, že poverenia sú dostatočne silné, aby nemohlo dôjsť k útokom hrubou silou. Z tohto dôvodu odporúčame používať dvojfaktorovú autentifikáciu.

Podniky sa zároveň musia dohodnúť na spoločnej stratégii kybernetickej bezpečnosti pre všetkých, pretože tak je ľahšie zmierniť riziká.

YouTube Video: Čo je škodlivý softvér Phobos

04, 2024