Що таке шкідливе програмне забезпечення Фобос (03.29.24)

Фобос - це тип шкідливого програмного забезпечення, який шифрує файл користувача, використовуючи 256-бітний стандарт шифрування AES. Після чого він вимагає, щоб частина жертви була виплачена в біткойнах.

Фобос був вперше помічений у 2019 році і віднесений до тієї самої групи хакерів, яка відповідає за викупну програму Dharma. Він в основному поширюється через зламані підключення до віддаленого робочого столу.

Фобос шифрує різноманітні файли, включаючи виконувані файли. Зазвичай до зашифрованих файлів також додається електронна адреса зловмисника. Загальний шаблон шифрування: .id [-] [] ..

Що може зробити вірус шкідливого програмного забезпечення Фобос?

Так само, як і Дхарма, Фобос заражає комп’ютери, використовуючи погано захищені порти RDP для проникнення в мережі та запуску атака з вимогами.

Після зашифрування файлів із розширенням .phobos програма-вимагач потім вимагатиме виплати суми викупу в біткойнах на темну веб-адресу, яка передається через документ readme.txt. Деякі жертви шкідливого програмного забезпечення попросили заплатити до 3000 доларів США за можливість повернути свої файли.

Перед тим, як шифрування буде виконано, шкідлива програма вбиває процеси, які можуть блокувати доступ до файлів, які орієнтована на шифрування. Нижче наведено повний перелік вбитих процесів:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • sqlwriter.exeoracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

На наступному зображенні показано фрагмент коду зловмисного програмного забезпечення Фобос і те, як він керує процесом вбивства:

Одна з причин, завдяки якій кіберзлочинці можуть сказати, що Дхарма та суть шкідливих програм Фобос створюються одним група, незважаючи на наявність іншого коду, полягає в тому, що вони мають однакові викупні записки. Шрифт та текст однакові.

Як видалити шкідливе програмне забезпечення Фобос

Найкращий спосіб боротьби зі шкідливим програмним забезпеченням Phobos - це розгортання антивірусного рішення та утримання від зв’язку з кіберзлочинцями. Це правда, що виплата викупу може заощадити вам біль від втрати файлів, але це не ідеальне рішення.

Кіберзлочинцям не можна довіряти доставку ключів розшифровки, і навіть якщо вони могли, це робить це ймовірніше, що вони будуть атакувати в майбутньому, коли ви та інші, хто вирішить платити, заохочуйте їх це робити.

Виявлено, що рішення проти зловмисного програмного забезпечення є більш ефективними проти вірусів, коли комп’ютер увімкнено Безпечний режим. Це пов’язано з тим, що безпечний режим працює лише з мінімальними програмами та налаштуваннями Windows, а отже, робить більше обчислювальних реімінгів для виявлення сутності зловмисного програмного забезпечення.

Відомо, що програма-вимагавач Phobos використовує кілька постійних процесів, таких як встановлення в папці% APPDATA% та запуску, де додає ключі реєстру запуску для автозапуску. У безпечному режимі елементи автозапуску відключені.

Ще одним програмним забезпеченням, яке може вам знадобитися під час боротьби із шкідливим програмним забезпеченням Фобос, є інструмент для відновлення ПК. Це одночасно очистить ваш комп’ютер і відновить пошкоджені записи реєстру.

Як захистити свій комп’ютер від шкідливих програм Phobos

Як частина цього посібника з видалення зловмисного програмного забезпечення Phobos, ми також поділимося з вами кількома порадами щодо того, як інфекція, що випробовується. Вимагальна програма Phobos здебільшого націлена на корпоративні організації, які використовують доступ до протоколу віддаленого робочого столу (RDP). Таким чином, підприємства можуть переглянути, де було ввімкнено RDP, або вимкнути або переконатись, що облікові дані є достатньо сильними, щоб нападу грубої сили не могло відбутися. Для цього ми рекомендуємо використовувати двофакторну автентифікацію.

Одночасно підприємства повинні домовитись про загальну стратегію кібербезпеки для всіх, оскільки таким чином легше пом'якшити ризики.


Відео YouTube: Що таке шкідливе програмне забезпечення Фобос

03, 2024