Co je malware Phobos (03.28.24)
Phobos je ransomwarový typ malwaru, který šifruje soubor uživatele pomocí 256bitového šifrovacího standardu AES. Poté požaduje část oběti s částkou výkupného, která musí být vyplacena v bitcoinech.
Phobos byl poprvé spatřen v roce 2019 a je přičítán stejné hackerské skupině, která je zodpovědná za ransomware Dharma. Většinou se distribuuje prostřednictvím hacknutých připojení ke vzdálené ploše.
Phobos šifruje různé soubory, včetně spustitelných souborů. K šifrovaným souborům je obvykle přidán také e-mail útočníka. Obecný vzor šifrování je: .id [-] [] ..
Co může virus Phobos Malware dělat?Stejně jako Dharma, i Phobos infikuje počítače využíváním špatně zabezpečených portů RDP k pronikání do sítí a provádění útok ransomwaru.
Po zašifrování souborů příponou .phobos pak ransomware požádá o zaplacení výkupné v bitcoinech na tmavou webovou adresu, která je sdílena prostřednictvím dokumentu readme.txt. Některé oběti malwaru byly požádány, aby zaplatily až 3000 $ za šanci získat své soubory zpět.
Před provedením šifrování zabije entita malwaru procesy, které by mohly blokovat přístup k souborům, které jsou cílené na šifrování. Následuje úplný seznam zabitých procesů:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exeoracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- agntsvc.exe
- mydesktopqos.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
Následující obrázek ukazuje fragment kódu škodlivého softwaru Phobos a způsob, jakým řídí proces zabíjení:
Jeden z důvodů, proč jsou počítačoví zločinci schopni zjistit, že entity škodlivého softwaru Dharma a Phobos jsou vytvářeny stejnými skupina navzdory odlišnému kódu je skutečnost, že sdílejí stejnou výkupnou. Písmo a text jsou stejné.
Jak odebrat malware PhobosNejlepším způsobem, jak se vypořádat s malwarem Phobos, je nasadit řešení proti malwaru a zdržet se kontaktování s počítačovými zločinci. Je pravda, že výplata výkupného vám může ušetřit bolest ze ztráty souborů, ale není to ideální řešení.
Kyberzločincům nelze důvěřovat, že doručí dešifrovací klíče, a i kdyby mohli, vydělá to s větší pravděpodobností, že v budoucnu zaútočí, protože vy i ostatní, kteří se rozhodnou zaplatit, je k tomu povzbuďte.
Bylo zjištěno, že řešení proti malwaru jsou účinnější proti virům, když je počítač zapnutý Nouzový režim. Důvodem je, že nouzový režim pracuje pouze s minimem aplikací a nastavení systému Windows, a proto zavazuje k dalšímu počítačovému oživení při hledání entity malwaru.
Je známo, že ransomware Phobos také používá několik trvalých procesů, například jako instalace do složky% APPDATA% a spuštění, kde přidá spouštěcí klíče registru k automatickému spuštění. V nouzovém režimu jsou položky automatického spuštění deaktivovány.
Dalším softwarem, který budete možná potřebovat při boji s malwarem Phobos, je nástroj pro opravu PC. Vyčistí váš počítač i opraví poškozené položky registru.
Jak chránit počítač před malwarem PhobosV rámci tohoto průvodce odstraňováním škodlivého softwaru Phobos se s vámi také podělíme o několik tipů, jak se vyhnout infekce ransomwarem. Ransomware Phobos se většinou zaměřuje na korporátní entity, které používají přístup k protokolu RDP (Remote Desktop Protocol). Podniky tak mohou zkontrolovat, kde byl povolen protokol RDP, a buď zakázat, nebo zajistit, aby pověření byla dostatečně silná, aby k útokům hrubou silou nemohlo dojít. K tomu doporučujeme použít dvoufaktorové ověřování.
Podniky se zároveň musí dohodnout na společné strategii kybernetické bezpečnosti pro všechny, protože tak je snazší zmírňovat rizika.
YouTube video: Co je malware Phobos
03, 2024