Что такое вредоносное ПО Phobos (03.29.24)

Phobos - это вредоносная программа-вымогатель, которая шифрует файл пользователя с использованием стандарта 256-битного шифрования AES. После этого он требует от жертвы части выкупа, который должен быть выплачен в биткойнах.

Фобос был впервые обнаружен в 2019 году и приписан той же хакерской группе, которая ответственна за вымогательское ПО Dharma. В основном он распространяется через взломанные подключения к удаленному рабочему столу.

Phobos шифрует различные файлы, в том числе исполняемые. Обычно в зашифрованные файлы также добавляется адрес электронной почты злоумышленника. Общая схема шифрования: .id [-] [] ..

Что может сделать вредоносный вирус Phobos?

Как и Dharma, Phobos заражает компьютеры, используя плохо защищенные порты RDP для проникновения в сеть и выполнения атака программы-вымогателя.

После шифрования файлов с расширением .phobos программа-вымогатель запросит выплату суммы выкупа в биткойнах на темный веб-адрес, доступный через документ readme.txt. Некоторым жертвам вредоносного ПО было предложено заплатить до 3000 долларов за возможность вернуть свои файлы.

Перед выполнением шифрования вредоносная сущность уничтожает процессы, которые могут заблокировать доступ к файлам, которые находятся предназначен для шифрования. Ниже приводится полный список убитых процессов:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • sqlwriter.exeoracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

На следующем изображении показан фрагмент кода вредоносной программы Phobos и то, как она управляет процессом уничтожения:

Одна из причин, по которой киберпреступники могут сказать, что вредоносные объекты Dharma и Phobos созданы одним и тем же group, несмотря на то, что у них разный код, заключается в том, что у них одна и та же записка о выкупе. Шрифт и текст одинаковы.

Как удалить вредоносную программу Phobos

Лучший способ борьбы с вредоносным ПО Phobos - это развернуть решение для защиты от вредоносного ПО и воздерживаться от контактов с киберпреступниками. Это правда, что уплата выкупа может избавить вас от боли от потери файлов, но это не идеальное решение.

Киберпреступникам нельзя доверять доставку ключей дешифрования, и даже если они могут, это делает их более вероятно, что они будут атаковать в будущем, поскольку вы и другие, кто решит заплатить, поощряйте их делать это.

Было обнаружено, что решения для защиты от вредоносных программ более эффективны против вирусов, когда компьютер включен Безопасный режим. Это связано с тем, что в безопасном режиме работает только минимум приложений и настроек Windows и, следовательно, требуется больше вычислительных перезаписей для поиска вредоносного объекта.

Также известно, что программа-вымогатель Phobos использует несколько постоянных процессов, например как установка себя в папке% APPDATA% и автозагрузки, куда он добавляет ключи реестра автозапуска. В безопасном режиме элементы автозапуска отключены.

Еще одна программа, которая может вам понадобиться в борьбе с вредоносным ПО Phobos, - это инструмент для ремонта ПК. Он очистит ваш компьютер и восстановит поврежденные записи реестра.

Как защитить ваш компьютер от вредоносных программ Phobos

В рамках этого руководства по удалению вредоносных программ Phobos мы также поделимся с вами несколькими советами о том, как избежать заражение программой-вымогателем. Программа-вымогатель Phobos в основном нацелена на корпоративные объекты, использующие доступ по протоколу удаленного рабочего стола (RDP). Таким образом, предприятия могут проверить, где был включен RDP, и либо отключить, либо убедиться, что учетные данные достаточно надежны, чтобы атаки грубой силы не могли произойти. Для этого мы рекомендуем использовать двухфакторную аутентификацию.

В то же время предприятиям необходимо согласовать общую стратегию кибербезопасности для всех, потому что так легче снизить риски.


YouTube видео: Что такое вредоносное ПО Phobos

03, 2024