Phobos là một loại phần mềm độc hại ransomware mã hóa tệp của người dùng bằng tiêu chuẩn mã hóa AES 256-bit. Sau đó, nó yêu cầu phần của nạn nhân một số tiền chuộc phải được trả bằng Bitcoin.
Phobos lần đầu tiên được phát hiện vào năm 2019 và được cho là do cùng một nhóm hacker chịu trách nhiệm về phần mềm tống tiền của Pháp. Nó chủ yếu được phân phối thông qua kết nối máy tính từ xa bị tấn công.
Phobos mã hóa nhiều loại tệp, bao gồm cả tệp thực thi. Thông thường, các tệp được mã hóa cũng có thêm email của kẻ tấn công. Dạng mã hóa chung là:
Virus Phần mềm độc hại Phobos có thể làm gì?
Cũng giống như Dharma, Phobos lây nhiễm vào máy tính bằng cách khai thác các cổng RDP được bảo mật kém để xâm nhập vào mạng và thực hiện một cuộc tấn công ransomware.
Sau khi mã hóa các tệp bằng phần mở rộng .phobos, ransomware sau đó sẽ yêu cầu thanh toán số tiền chuộc bằng Bitcoin cho một địa chỉ web tối được chia sẻ qua tài liệu readme.txt. Một số nạn nhân của phần mềm độc hại đã được yêu cầu trả tới 3000 đô la để có cơ hội lấy lại tệp của họ.
Trước khi mã hóa được thực thi, thực thể phần mềm độc hại sẽ giết các quy trình có thể chặn quyền truy cập vào các tệp được nhắm mục tiêu để mã hóa. Sau đây là danh sách đầy đủ các quy trình bị giết:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exeoracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- agntsvc.exe
- mydesktopqos.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
Hình ảnh sau đây cho thấy một đoạn mã phần mềm độc hại Phobos và cách nó chỉ đạo quá trình tiêu diệt:
Một trong những lý do mà tội phạm mạng có thể nói rằng Dharma và các thực thể phần mềm độc hại Phobos được tạo ra bởi cùng một nhóm mặc dù có mã khác nhau là do chúng có chung một lưu ý đòi tiền chuộc. Kiểu chữ và văn bản giống nhau.
Cách loại bỏ phần mềm độc hại Phobos
Cách tốt nhất để đối phó với phần mềm độc hại Phobos là triển khai một giải pháp chống phần mềm độc hại và không tiếp xúc với tội phạm mạng. Đúng là trả tiền chuộc có thể giúp bạn đỡ mất công mất các tệp tin, nhưng đó không phải là một giải pháp lý tưởng.
Tội phạm mạng không thể được tin cậy để cung cấp các khóa giải mã và ngay cả khi chúng có thể, điều đó khiến chúng có nhiều khả năng sẽ tấn công trong tương lai vì bạn và những người khác chọn trả tiền, hãy khuyến khích chúng làm như vậy.
Các giải pháp chống phần mềm độc hại đã được phát hiện là có hiệu quả hơn trong việc chống lại vi-rút khi máy tính ở Chế độ An toàn. Điều này là do Chế độ an toàn chỉ vận hành tối thiểu các ứng dụng và cài đặt Windows, do đó cam kết nhiều tài nguyên máy tính hơn để săn lùng thực thể phần mềm độc hại.
Phobos ransomware cũng được biết là sử dụng một số quá trình liên tục, chẳng hạn như cài đặt chính nó trong thư mục% APPDATA% và Startup, nơi nó thêm các khóa đăng ký khởi động để tự động khởi động. Ở Chế độ An toàn, các mục tự khởi động bị tắt.
Một phần mềm khác mà bạn có thể cần khi chiến đấu với phần mềm độc hại Phobos là công cụ sửa chữa PC. Nó sẽ vừa làm sạch máy tính của bạn vừa sửa chữa các mục đăng ký bị hỏng.
Cách bảo vệ máy tính của bạn khỏi phần mềm độc hại Phobos
Là một phần của hướng dẫn loại bỏ phần mềm độc hại Phobos này, chúng tôi cũng sẽ chia sẻ với bạn một số mẹo về cách tránh bị lây nhiễm bởi ransomware. Phần mềm tống tiền Phobos chủ yếu nhắm vào các tổ chức công ty sử dụng quyền truy cập Giao thức Máy tính Từ xa (RDP). Do đó, các doanh nghiệp có thể xem xét RDP đã được kích hoạt ở đâu và vô hiệu hóa hoặc đảm bảo rằng thông tin xác thực đủ mạnh để các cuộc tấn công brute force không thể xảy ra. Đối với điều này, chúng tôi khuyên bạn nên sử dụng xác thực hai yếu tố.
Đồng thời, các doanh nghiệp cần thống nhất về một chiến lược an ninh mạng chung cho tất cả mọi người bởi vì như vậy, việc giảm thiểu rủi ro sẽ dễ dàng hơn.