Что такое вредоносное ПО Phobos?

Phobos — это тип вредоносных программ-вымогателей, который шифрует пользовательский файл с использованием 256-битного стандарта шифрования AES. После чего он требует от жертвы часть суммы выкупа, которая должна быть выплачена в биткойнах.

Фобос был впервые обнаружен в 2019 году и приписывается той же хакерской группе, которая несет ответственность за программу-вымогатель Dharma. В основном он распространяется через взломанные подключения к удаленному рабочему столу.

Фобос шифрует самые разные файлы, в том числе и исполняемые. Обычно в зашифрованные файлы также добавляется электронная почта злоумышленника. Общий шаблон шифрования: <исходное имя>.id[<victim ID>-<version ID>][<attacker’s e-mail>].<добавленное расширение>.

Что может вредоносный вирус Phobos?

Как и Dharma, Phobos заражает компьютеры, используя плохо защищенные порты RDP для проникновения в сети и выполнения атаки программ-вымогателей.

После шифрования файлов с расширением .phobos программа-вымогатель затем потребует выплатить сумму выкупа в биткойнах на адрес темной сети, который передается через документ readme.txt. Некоторых жертв вредоносных программ попросили заплатить до 3000 долларов за возможность вернуть свои файлы.

Перед выполнением шифрования вредоносная программа уничтожает процессы, которые могут заблокировать доступ к файлам, предназначенным для шифрования. Ниже приведен полный список процессов, которые были убиты:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • sqlwriter.exeoracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • Outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • Thunderbird.exe
  • Visio.exe
  • winword.exe
  • wordpad.exe

На следующем изображении показан фрагмент кода вредоносного ПО Phobos и то, как он управляет процессом уничтожения:Код вредоносного ПО Фобос

Одной из причин, по которой киберпреступники могут сказать, что вредоносные объекты Dharma и Phobos созданы одной и той же группой, несмотря на то, что они имеют разный код, является тот факт, что они используют одну и ту же записку о выкупе. Шрифт и текст одинаковые.

Как удалить вредоносное ПО Phobos

Лучший способ борьбы с вредоносным ПО Phobos — развернуть решение для защиты от вредоносных программ и воздерживаться от контактов с киберпреступниками. Это правда, что уплата выкупа может избавить вас от потери файлов, но это не идеальное решение.

Киберпреступникам нельзя доверять доставку ключей дешифрования, и даже если бы они могли, это повышает вероятность того, что они будут атаковать в будущем, поскольку вы и другие, кто решит заплатить, подтолкнете их к этому.

Было обнаружено, что решения для защиты от вредоносных программ более эффективны против вирусов, когда компьютер находится в безопасном режиме. Это связано с тем, что в безопасном режиме работает только минимум приложений и настроек Windows, и, следовательно, выделяется больше вычислительных ресурсов для поиска вредоносных объектов.

Также известно, что программа-вымогатель Phobos использует несколько постоянных процессов, таких как установка себя в папку %APPDATA% и Startup, где она добавляет ключи реестра запуска в автозапуск. В безопасном режиме элементы автозапуска отключены.

Еще одна часть программного обеспечения, которая может вам понадобиться в борьбе с вредоносным ПО Phobos, — это инструмент для ремонта ПК. Он очистит ваш компьютер и восстановит поврежденные записи реестра.

Как защитить свой компьютер от вредоносного ПО Phobos

В рамках этого руководства по удалению вредоносных программ Phobos мы также поделимся с вами несколькими советами о том, как избежать заражения программой-вымогателем. Программа-вымогатель Phobos в основном нацелена на корпоративные организации, использующие доступ по протоколу удаленного рабочего стола (RDP). Таким образом, предприятия могут проверить, где был включен RDP, и либо отключить, либо убедиться, что учетные данные достаточно надежны, чтобы атаки методом грубой силы не могли произойти. Для этого мы рекомендуем использовать двухфакторную аутентификацию.

В то же время предприятиям необходимо согласовать общую стратегию кибербезопасности для всех, поскольку таким образом легче снизить риски.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *