Vad är Phobos Malware (05.01.24)
Phobos är en ransomware-typ av skadlig kod som krypterar en användares fil med AES 256-bitars krypteringsstandard. Därefter kräver det att offrets del med ett lösenbelopp som måste betalas i Bitcoins.
Phobos sågs först 2019 och tillskrivs samma hackargrupp som ansvarar för Dharma-ransomware. Den distribueras mestadels via hackade fjärrskrivbordsanslutningar.
Phobos krypterar en mängd olika filer, inklusive körbara. Normalt har de krypterade filerna även angriparens e-postadress tillagd. Det allmänna mönstret för krypteringen är: .id [-] [] ..
Vad kan Phobos Malware-virus göra?Precis som Dharma infekterar Phobos datorer genom att utnyttja dåligt säkrade RDP-portar för att infiltrera nätverk och utföra en ransomware-attack.
Efter kryptering av filerna med ett .phobos-tillägg kommer ransomware att begära att ett lösenbelopp betalas i Bitcoins till en mörk webbadress som delas via ett readme.txt-dokument. Vissa offer för skadlig kod har ombetts att betala så mycket som $ 3000 för chansen att få tillbaka sina filer.
Innan krypteringen körs, dödar skadlig programvara processer som kan blockera åtkomst till de filer som är riktad för kryptering. Följande är en fullständig lista över processerna som dödas:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exeoracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- agntsvc.exe
- mydesktopqos.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
Följande bild visar ett fragment av Phobos malware-kod och hur den styr dödsprocessen: 
En av anledningarna till att cyberbrottslingar kan säga att Dharma och Phobos malware-enheter skapas av samma grupp trots att de har annan kod är det faktum att de delar samma lösensedel. Typsnittet och texten är desamma.
Hur man tar bort Phobos skadlig programvaraDet bästa sättet att hantera Phobos-skadlig programvara är att distribuera en anti-malware-lösning och att avstå från att kontakta cyberbrottslingar. Det är sant att betala lösen kan spara dig för att förlora dina filer, men det är inte en idealisk lösning.
Cyberbrottslingar kan inte lita på att leverera dekrypteringsnycklarna och även om de kunde, det gör det mer sannolikt att de kommer att attackera i framtiden eftersom du och de andra som väljer att betala, uppmuntrar dem att göra det.
Anti-malware-lösningar har visat sig vara mer effektiva mot virus när datorn är på Säkert läge. Detta beror på att Säkert läge endast använder ett minimum av Windows-appar och inställningar, och därför åtar sig mer datorkostnader för att jaga skadlig enhet.
Phobos ransomware är också känt för att använda flera ihållande processer, t.ex. som att installera sig själv i mappen% APPDATA% och Startup, där den lägger till registernycklar för start till autostart. I felsäkert läge inaktiveras autostartobjekten.
En annan programvara som du kan behöva när du kämpar mot skadlig programvara från Phobos är ett PC-reparationsverktyg. Det kommer både att rengöra din dator och reparera trasiga registerposter.
Så här skyddar du din dator från Phobos MalwareSom en del av den här guiden för borttagning av skadlig programvara ska vi också dela med dig några tips om hur du kan undvika en infektion av ransomware. Phobos ransomware riktar sig främst till företagsenheter som använder RDP-åtkomst (Remote Desktop Protocol). Således kan företag granska var RDP har aktiverats och antingen inaktivera eller se till att referenser är tillräckligt stronga för att brute force-attacker inte kan ske. För detta rekommenderar vi att du använder tvåfaktorautentisering.
Samtidigt måste företag komma överens om en gemensam cybersäkerhetsstrategi för alla, för på så sätt är det lättare att mildra risker.
YouTube-video: Vad är Phobos Malware
05, 2024