Co je malware Phobos (03.28.24)

Phobos je ransomwarový typ malwaru, který šifruje soubor uživatele pomocí 256bitového šifrovacího standardu AES. Poté požaduje část oběti s částkou výkupného, ​​která musí být vyplacena v bitcoinech.

Phobos byl poprvé spatřen v roce 2019 a je přičítán stejné hackerské skupině, která je zodpovědná za ransomware Dharma. Většinou se distribuuje prostřednictvím hacknutých připojení ke vzdálené ploše.

Phobos šifruje různé soubory, včetně spustitelných souborů. K šifrovaným souborům je obvykle přidán také e-mail útočníka. Obecný vzor šifrování je: .id [-] [] ..

Co může virus Phobos Malware dělat?

Stejně jako Dharma, i Phobos infikuje počítače využíváním špatně zabezpečených portů RDP k pronikání do sítí a provádění útok ransomwaru.

Po zašifrování souborů příponou .phobos pak ransomware požádá o zaplacení výkupné v bitcoinech na tmavou webovou adresu, která je sdílena prostřednictvím dokumentu readme.txt. Některé oběti malwaru byly požádány, aby zaplatily až 3000 $ za šanci získat své soubory zpět.

Před provedením šifrování zabije entita malwaru procesy, které by mohly blokovat přístup k souborům, které jsou cílené na šifrování. Následuje úplný seznam zabitých procesů:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • sqlwriter.exeoracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

Následující obrázek ukazuje fragment kódu škodlivého softwaru Phobos a způsob, jakým řídí proces zabíjení:

Jeden z důvodů, proč jsou počítačoví zločinci schopni zjistit, že entity škodlivého softwaru Dharma a Phobos jsou vytvářeny stejnými skupina navzdory odlišnému kódu je skutečnost, že sdílejí stejnou výkupnou. Písmo a text jsou stejné.

Jak odebrat malware Phobos

Nejlepším způsobem, jak se vypořádat s malwarem Phobos, je nasadit řešení proti malwaru a zdržet se kontaktování s počítačovými zločinci. Je pravda, že výplata výkupného vám může ušetřit bolest ze ztráty souborů, ale není to ideální řešení.

Kyberzločincům nelze důvěřovat, že doručí dešifrovací klíče, a i kdyby mohli, vydělá to s větší pravděpodobností, že v budoucnu zaútočí, protože vy i ostatní, kteří se rozhodnou zaplatit, je k tomu povzbuďte.

Bylo zjištěno, že řešení proti malwaru jsou účinnější proti virům, když je počítač zapnutý Nouzový režim. Důvodem je, že nouzový režim pracuje pouze s minimem aplikací a nastavení systému Windows, a proto zavazuje k dalšímu počítačovému oživení při hledání entity malwaru.

Je známo, že ransomware Phobos také používá několik trvalých procesů, například jako instalace do složky% APPDATA% a spuštění, kde přidá spouštěcí klíče registru k automatickému spuštění. V nouzovém režimu jsou položky automatického spuštění deaktivovány.

Dalším softwarem, který budete možná potřebovat při boji s malwarem Phobos, je nástroj pro opravu PC. Vyčistí váš počítač i opraví poškozené položky registru.

Jak chránit počítač před malwarem Phobos

V rámci tohoto průvodce odstraňováním škodlivého softwaru Phobos se s vámi také podělíme o několik tipů, jak se vyhnout infekce ransomwarem. Ransomware Phobos se většinou zaměřuje na korporátní entity, které používají přístup k protokolu RDP (Remote Desktop Protocol). Podniky tak mohou zkontrolovat, kde byl povolen protokol RDP, a buď zakázat, nebo zajistit, aby pověření byla dostatečně silná, aby k útokům hrubou silou nemohlo dojít. K tomu doporučujeme použít dvoufaktorové ověřování.

Podniky se zároveň musí dohodnout na společné strategii kybernetické bezpečnosti pro všechny, protože tak je snazší zmírňovat rizika.


YouTube video: Co je malware Phobos

03, 2024