Co to jest złośliwe oprogramowanie Phobos? (04.26.24)

Ochrona przed złośliwym oprogramowaniem

Phobos to złośliwe oprogramowanie typu ransomware, które szyfruje plik użytkownika przy użyciu 256-bitowego standardu szyfrowania AES. Następnie domaga się części ofiary z kwotą okupu, którą należy zapłacić w Bitcoinach.

Phobos został po raz pierwszy zauważony w 2019 roku i jest przypisywany tej samej grupie hakerów, która jest odpowiedzialna za oprogramowanie ransomware Dharma. Jest głównie dystrybuowany za pośrednictwem zhakowanych połączeń pulpitu zdalnego.

Phobos szyfruje różne pliki, w tym pliki wykonywalne. Zwykle do zaszyfrowanych plików dodawany jest również adres e-mail atakującego. Ogólny wzorzec szyfrowania to: .id[-][]..

Co może zrobić wirus Phobos Malware?

Podobnie jak Dharma, Phobos infekuje komputery, wykorzystując słabo zabezpieczone porty RDP do infiltracji sieci i wykonywania atak ransomware.

Po zaszyfrowaniu plików z rozszerzeniem .phobos oprogramowanie ransomware poprosi o zapłacenie kwoty okupu w Bitcoinach na ciemny adres internetowy, który jest udostępniany za pośrednictwem dokumentu readme.txt. Niektóre ofiary złośliwego oprogramowania zostały poproszone o zapłacenie nawet 3000 USD za szansę odzyskania swoich plików.

Przed wykonaniem szyfrowania jednostka złośliwego oprogramowania zabija procesy, które mogą blokować dostęp do plików, które są przeznaczone do zaszyfrowania. Poniżej znajduje się pełna lista zabitych procesów:

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exeoracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
agntsvc.exe
mydesktopqos.exe
isqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exe
agntsvc.exe
agntsvc.exe
encsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

Poniższy obraz przedstawia fragment kodu złośliwego oprogramowania Phobos i sposób, w jaki kieruje on procesem zabijania:

Jednym z powodów, dla których cyberprzestępcy są w stanie stwierdzić, że Dharma i złośliwe oprogramowanie Phobos są tworzone przez ten sam grupę pomimo posiadania innego kodu jest fakt, że dzielą tę samą notę okupu. Krój pisma i tekst są takie same.

Jak usunąć złośliwe oprogramowanie Phobos

Najlepszym sposobem radzenia sobie ze złośliwym oprogramowaniem Phobos jest wdrożenie rozwiązania chroniącego przed złośliwym oprogramowaniem i powstrzymanie się od kontaktowania się z cyberprzestępcami. Prawdą jest, że zapłacenie okupu może oszczędzić Ci bólu związanego z utratą plików, ale nie jest to idealne rozwiązanie.

Nie można ufać cyberprzestępcom, że dostarczą klucze odszyfrowywania, a nawet gdyby mogli, to sprawia, że bardziej prawdopodobne, że zaatakują w przyszłości, ponieważ Ty i inni, którzy zdecydują się zapłacić, zachęć ich do tego.

Stwierdzono, że rozwiązania chroniące przed złośliwym oprogramowaniem są bardziej skuteczne przeciwko wirusom, gdy komputer jest włączony Tryb bezpieczeństwa. Dzieje się tak, ponieważ w trybie awaryjnym działa tylko minimalna liczba aplikacji i ustawień systemu Windows, a zatem zobowiązuje się więcej obliczeń komputerowych do polowania na złośliwe oprogramowanie.

Oprogramowanie ransomware Phobos jest również znane z używania kilku trwałych procesów, takich jak jako instalujący się w folderze %APPDATA% i Autostart, gdzie dodaje klucze rejestru startowego do autostartu. W trybie awaryjnym elementy autostartu są wyłączone.

Kolejnym oprogramowaniem, którego możesz potrzebować podczas walki ze złośliwym oprogramowaniem Phobos, jest narzędzie do naprawy komputera. Spowoduje zarówno wyczyszczenie komputera, jak i naprawę uszkodzonych wpisów rejestru.

Jak chronić komputer przed złośliwym oprogramowaniem Phobos

W ramach tego przewodnika usuwania złośliwego oprogramowania Phobos podzielimy się z Tobą kilkoma wskazówkami, jak tego uniknąć infekcja przez oprogramowanie ransomware. Ransomware Phobos jest skierowane głównie do podmiotów korporacyjnych, które korzystają z dostępu RDP (Remote Desktop Protocol). W ten sposób firmy mogą sprawdzić, gdzie włączono protokół RDP i albo wyłączyć, albo upewnić się, że poświadczenia są wystarczająco silne, aby ataki typu brute force nie miały miejsca. W tym celu zalecamy korzystanie z uwierzytelniania dwuskładnikowego.

Jednocześnie firmy muszą uzgodnić wspólną strategię cyberbezpieczeństwa dla wszystkich, ponieważ w ten sposób łatwiej jest złagodzić ryzyko.

Wideo YouTube.: Co to jest złośliwe oprogramowanie Phobos?

04, 2024

Co to jest złośliwe oprogramowanie Phobos? (04.26.24)

Wideo YouTube.: Co to jest złośliwe oprogramowanie Phobos?

Artykuły

Gdzie są przechowywane profile Razer (odpowiedź)

4 sposoby rozwiązania „problemu z opóźnieniem wejścia Overwatch”

Top 5 gier takich jak Trove (gry podobne do Trove)

5 najlepszych gier takich jak Torchlight (gry podobne do Torch Light)

Wszystko, co musisz wiedzieć o procesie CSRSS.exe

Ostatnie artykuły

3 sposoby naprawienia aktualizacji Battlenet zablokowanej na 0

4 rozwiązania dla wymaganych danych Battle.net nie można znaleźć Błąd WoW

Nie masz wystarczającego dostępu do odinstalowania błędu programu w systemie Windows 10

Razer Goliathus Control vs Speed

5 najlepszych gier o zwierzętach na Roblox