Что такое вредоносное ПО Phobos (03.29.24)
Phobos - это вредоносная программа-вымогатель, которая шифрует файл пользователя с использованием стандарта 256-битного шифрования AES. После этого он требует от жертвы части выкупа, который должен быть выплачен в биткойнах.
Фобос был впервые обнаружен в 2019 году и приписан той же хакерской группе, которая ответственна за вымогательское ПО Dharma. В основном он распространяется через взломанные подключения к удаленному рабочему столу.
Phobos шифрует различные файлы, в том числе исполняемые. Обычно в зашифрованные файлы также добавляется адрес электронной почты злоумышленника. Общая схема шифрования: .id [-] [] ..
Что может сделать вредоносный вирус Phobos?Как и Dharma, Phobos заражает компьютеры, используя плохо защищенные порты RDP для проникновения в сеть и выполнения атака программы-вымогателя.
После шифрования файлов с расширением .phobos программа-вымогатель запросит выплату суммы выкупа в биткойнах на темный веб-адрес, доступный через документ readme.txt. Некоторым жертвам вредоносного ПО было предложено заплатить до 3000 долларов за возможность вернуть свои файлы.
Перед выполнением шифрования вредоносная сущность уничтожает процессы, которые могут заблокировать доступ к файлам, которые находятся предназначен для шифрования. Ниже приводится полный список убитых процессов:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exeoracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- agntsvc.exe
- mydesktopqos.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
На следующем изображении показан фрагмент кода вредоносной программы Phobos и то, как она управляет процессом уничтожения:
Одна из причин, по которой киберпреступники могут сказать, что вредоносные объекты Dharma и Phobos созданы одним и тем же group, несмотря на то, что у них разный код, заключается в том, что у них одна и та же записка о выкупе. Шрифт и текст одинаковы.
Как удалить вредоносную программу PhobosЛучший способ борьбы с вредоносным ПО Phobos - это развернуть решение для защиты от вредоносного ПО и воздерживаться от контактов с киберпреступниками. Это правда, что уплата выкупа может избавить вас от боли от потери файлов, но это не идеальное решение.
Киберпреступникам нельзя доверять доставку ключей дешифрования, и даже если они могут, это делает их более вероятно, что они будут атаковать в будущем, поскольку вы и другие, кто решит заплатить, поощряйте их делать это.
Было обнаружено, что решения для защиты от вредоносных программ более эффективны против вирусов, когда компьютер включен Безопасный режим. Это связано с тем, что в безопасном режиме работает только минимум приложений и настроек Windows и, следовательно, требуется больше вычислительных перезаписей для поиска вредоносного объекта.
Также известно, что программа-вымогатель Phobos использует несколько постоянных процессов, например как установка себя в папке% APPDATA% и автозагрузки, куда он добавляет ключи реестра автозапуска. В безопасном режиме элементы автозапуска отключены.
Еще одна программа, которая может вам понадобиться в борьбе с вредоносным ПО Phobos, - это инструмент для ремонта ПК. Он очистит ваш компьютер и восстановит поврежденные записи реестра.
Как защитить ваш компьютер от вредоносных программ PhobosВ рамках этого руководства по удалению вредоносных программ Phobos мы также поделимся с вами несколькими советами о том, как избежать заражение программой-вымогателем. Программа-вымогатель Phobos в основном нацелена на корпоративные объекты, использующие доступ по протоколу удаленного рабочего стола (RDP). Таким образом, предприятия могут проверить, где был включен RDP, и либо отключить, либо убедиться, что учетные данные достаточно надежны, чтобы атаки грубой силы не могли произойти. Для этого мы рекомендуем использовать двухфакторную аутентификацию.
В то же время предприятиям необходимо согласовать общую стратегию кибербезопасности для всех, потому что так легче снизить риски.
YouTube видео: Что такое вредоносное ПО Phobos
03, 2024