Què és el programari maliciós de Phobos (03.28.24)

Phobos és un tipus de programari maliciós de tipus ransomware que xifra el fitxer d’un usuari mitjançant l’estàndard de xifratge AES de 256 bits. Després, exigeix ​​que la part de la víctima amb una quantitat de rescat que s’hagi de pagar en Bitcoins.

Phobos es va detectar per primera vegada el 2019 i s’atribueix al mateix grup de pirates informàtics responsable del ransomware de Dharma. Es distribueix principalment mitjançant connexions d’escriptori remot piratejades.

Phobos xifra diversos fitxers, inclosos els executables. Normalment, als fitxers xifrats també s’afegeix el correu electrònic de l’atacant. El patró general del xifratge és: .id [-] [] ..

Què pot fer el virus de malware Phobos?

Igual que Dharma, Phobos infecta els ordinadors explotant ports RDP mal protegits per infiltrar-se i executar xarxes. un atac de ransomware.

Després de xifrar els fitxers amb una extensió .phobos, el ransomware sol·licitarà que es pagui una quantitat de rescat en Bitcoins a una adreça web fosca que es comparteixi mitjançant un document readme.txt. A algunes víctimes del programari maliciós se'ls ha demanat que paguin fins a 3.000 dòlars per l'oportunitat de recuperar els seus fitxers.

Abans d'executar el xifratge, l'entitat del programari maliciós mata processos que podrien bloquejar l'accés als fitxers destinat al xifratge. A continuació es mostra una llista completa dels processos que es maten:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe sqlwriter.exeoracle.exe
  • synctime.exe li>
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe mysqld-nt.exe
  • sqbcoreservice.exe
  • infopath.exemsaccess.exe msbub.exe onenote.exe <
  • outlook.exe

    powerpnt.exe

    steam.exe

    thebat.exe

  • thebat64.exe
  • <
  • thunderbird.exe

    visio.exe

    winword.exe

    wordpad.exe

La imatge següent mostra un fragment del codi de programari maliciós de Phobos i com dirigeix ​​el procés de matança:

Una de les raons per les quals els cibercriminals són capaços de dir que Dharma i les entitats de programari maliciós Phobos són creades pel mateix grup malgrat tenir un codi diferent és el fet que comparteixen la mateixa nota de rescat. La tipografia i el text són els mateixos.

Com eliminar el programari maliciós de Phobos

La millor manera de tractar el programari maliciós de Phobos és desplegar una solució antimalware i abstenir-se de contactar amb els ciberdelinqüents. És cert que pagar el rescat us pot estalviar la pèrdua de fitxers, però no és una solució ideal.

No es pot confiar en els ciberdelinqüents per lliurar les claus de desxifratge i, fins i tot, si ho podrien, ho fa és més probable que atacin en el futur a mesura que vosaltres i els altres que decidiu pagar, animeu-los a fer-ho.

Les solucions antimalware han estat més eficaces contra els virus quan l’ordinador està encès Mode segur. Això es deu al fet que el mode segur només opera un mínim d’aplicacions i configuracions de Windows i, per tant, confia més reemborsaments informàtics a la recerca de l’entitat de programari maliciós.

El ransomware de Phobos també és conegut per utilitzar diversos processos persistents, com ara com a instal·lar-se a la carpeta% APPDATA% i Startup, on afegeix claus de registre d'inici per iniciar automàticament. En mode segur, els elements d'inici automàtic estan desactivats.

Un altre programari que és possible que necessiteu per combatre el programari maliciós de Phobos és una eina de reparació de PC. Netejarà l’ordinador i repararà les entrades del registre fallides.

Com protegir l’ordinador contra el programari maliciós de Phobos

Com a part d’aquesta guia d’eliminació de programari maliciós de Phobos, també us compartirem alguns consells sobre com evitar una infecció pel ransomware. El ransomware Phobos s’adreça principalment a les entitats corporatives que utilitzen accés RDP (Remote Desktop Protocol). Per tant, les empreses poden revisar on s'ha activat el PDR i desactivar o assegurar-se que les credencials són prou sòlides perquè no puguin ocórrer atacs de força bruta. Per a això, es recomana utilitzar l'autenticació de dos factors.

Al mateix temps, les empreses han d'acordar una estratègia de ciberseguretat comuna per a tothom, perquè d'aquesta manera és més fàcil mitigar els riscos.


Vídeo de YouTube: Què és el programari maliciós de Phobos

03, 2024