Hva er Phobos malware (04.25.24)
Phobos er en ransomware-type malware som krypterer en brukerfil ved hjelp av AES 256-bit krypteringsstandard. Deretter krever det at offerets del med et løsepengerbeløp som må betales i Bitcoins.
Phobos ble først oppdaget i 2019 og tilskrives den samme hackergruppen som er ansvarlig for Dharma-løsepenger. Det distribueres hovedsakelig via hackede eksterne stasjonære tilkoblinger.
Phobos krypterer en rekke filer, inkludert kjørbare. Normalt har de krypterte filene også tilsendt e-postadressen til angriperen. Det generelle mønsteret for krypteringen er: .id [-] [] ..
Hva kan Phobos malware-virus gjøre?Akkurat som Dharma, infiserer Phobos datamaskiner ved å utnytte dårlig sikrede RDP-porter for å infiltrere nettverk og utføre et ransomware-angrep.
Etter å ha kryptert filene med en .phobos-utvidelse, vil ransomware da be om at det blir betalt et løsepengerbeløp i Bitcoins til en mørk webadresse som deles via et readme.txt-dokument. Noen ofre for skadelig programvare er blitt bedt om å betale så mye som $ 3000 for sjansen til å få filene sine tilbake.
Før krypteringen utføres, dreper skadelig programvareenhet prosesser som kan blokkere tilgang til filene som er målrettet for kryptering. Følgende er en fullstendig liste over prosessene som blir drept:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exeoracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- agntsvc.exe
- mydesktopqos.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
Følgende bilde viser et fragment av Phobos malware-kode og hvordan den styrer drapsprosessen: 
En av grunnene til at nettkriminelle er i stand til å fortelle at Dharma og Phobos malware-enheter er opprettet av den samme gruppe til tross for at de har annen kode, er det faktum at de deler samme løsepenger. Typografien og teksten er den samme.
Hvordan fjerne Phobos malwareDen beste måten å håndtere Phobos-skadelig programvare på er å distribuere en antimalwareløsning og å avstå fra å kontakte nettkriminelle. Det er sant at det å betale løsepenger kan spare deg for smerter ved å miste filene dine, men det er ikke en ideell løsning.
Nettkriminelle kan ikke stole på å levere dekrypteringsnøklene, og selv om de kunne, gjør det det mer sannsynlig at de vil angripe i fremtiden ettersom du og de andre som velger å betale, oppfordrer dem til å gjøre det.
Anti-malware-løsninger har vist seg å være mer effektive mot virus når datamaskinen er på Sikkerhetsmodus. Dette er fordi sikkermodus bare bruker et minimum av Windows-apper og innstillinger, og derfor forplikter mer databehandling til å jakte på malwareenheten.
Phobos ransomware er også kjent for å bruke flere vedvarende prosesser, slik som å installere seg selv i% APPDATA% og Startup-mappen, der den legger til oppstartsregisternøkler for automatisk start. I sikkermodus er autostart-elementene deaktivert.
Et annet stykke programvare som du kanskje trenger når du kjemper mot Phobos-malware, er et PC-reparasjonsverktøy. Det vil både rense datamaskinen din og reparere ødelagte registeroppføringer.
Slik beskytter du datamaskinen mot Phobos MalwareSom en del av denne Phobos-veiledningen for fjerning av skadelig programvare, skal vi også dele noen tips om hvordan du kan unngå det en infeksjon av løsepenger. Phobos ransomware retter seg hovedsakelig mot bedriftsenheter som bruker Remote Desktop Protocol (RDP) tilgang. Dermed kan bedrifter se på hvor RDP har blitt aktivert og enten deaktivere eller sørge for at legitimasjonen er sterk nok til at brute force-angrep ikke kan skje. For dette anbefaler vi å bruke tofaktorautentisering.
Samtidig må bedrifter bli enige om en felles cybersikkerhetsstrategi for alle, fordi det på den måten er lettere å redusere risikoen.
YouTube Video.: Hva er Phobos malware
04, 2024