Phobos - это программа-вымогатель, которая блокирует или шифрует файлы, требуя выкуп. Она использует шифрование AES с различными расширениями, что не оставляет шансов на восстановление зараженных файлов.
Что такое Phobos Ransomware?
Phobos Ransomware шифрует данные до тех пор, пока не будет выплачен выкуп. Согласно последним исследованиям, 77% атак Phobos оказываются успешными. Впервые эта вредоносная программа была зафиксирована в дикой природе в октябре 2017 года.
Общее описание Phobos Ransomware
Phobos ransomware появилась в 2017 году в семействе Dharma, также известном как CrySIS. Через год Phobos быстро развился и распространился. В 2019 году на его долю пришлось 8,9% представленных ransomware-атак. В первом квартале 2020 года штамм Phobos был отмечен как один из самых распространенных ransomware с 9,70% поданных заявок. Он постоянно получает обновления и новые версии.
Эта программа нацелена на организации по всему миру. Phobos компрометирует RDP-серверы, которые открыты или имеют слабую защиту. Затем киберпреступники рассылают письма с выкупом, в которых жертве предлагается связаться с одним из электронных адресов, чтобы получить ключ дешифровки.
Атакующие Phobos точно так же, как и Dharma, могут обсуждать сумму выкупа в зависимости от компании. Сумма выкупа может достигать 20 000 долларов США в биткоинах. Это ниже, чем обычно требуют выкупные программы, потому что Phobos выбирает в качестве жертв небольшие компании. А иногда киберпреступники не отдают ключ дешифровки даже после оплаты.
Вредоносная программа использует шифрование данных с помощью AES и добавляет к зараженным файлам такие расширения, как .phobos, .phoenix, .actin, .help, .mamba и другие. Эти файлы могут быть полностью или частично зашифрованы.
Phobos назван в честь греческого бога страха, но ничего божественного в нем нет. Преступники покупают эту вредоносную программу в RaaS-пакетах, поэтому даже без глубоких технических знаний у них есть возможность разработать свой собственный штамм и организовать атаку на выбранную жертву.
Процесс выполнения Phobos Ransomware
Процесс выполнения Phobos ransomware относительно типичен для такого типа вредоносных программ, как Troldesh. Исполняемый файл проникает в зараженную систему и запускается, после чего начинается основная вредоносная деятельность. После начала выполнения Ransomware удаляет теневые копии. Интересно, что сразу после шифрования всех целевых файлов Phobos выводит на рабочий стол записку с требованием выкупа, которая сама является исполняемым файлом ransomware.
Распространение Phobos Ransomware
У Phobos есть несколько способов попасть на ваш компьютер:
- фишинговые электронные письма с вложениями
- плохо защищенные порты RDP
- поддельные обновления
- эксплойты
- обманные загрузки
- веб-инжекторы
- перепакованные и зараженные программы установки
Эти методы распространения помогают злоумышленникам похищать информацию жертв и шифровать данные, запуская троянские или другие вредоносные программы. Причем разнообразие зараженных файлов огромно: документы, PDF и текстовые файлы, базы данных, фото и видео, архивы и т.д. Они могут располагаться как во внутренних, так и во внешних папках. Phobos избавляется от теневых копий файлов и резервных копий.
Заключение
Phobos не является новым типом ransomware, более того, он имеет некоторые сходства с Dharma. Преступникам, использующим Phobos, нет необходимости быть квалифицированными специалистами. Тем не менее, эта программа-вымогатель постоянно развивается, а ее атаки эффективны. У нее есть множество способов проникнуть на ваше устройство, чтобы получить выкуп. Именно поэтому Phobos может представлять серьезную угрозу для организаций.