Phobos Ransomware

Phobos - это программа-вымогатель, которая блокирует или шифрует файлы, требуя выкуп. Она использует шифрование AES с различными расширениями, что не оставляет шансов на восстановление зараженных файлов.

Что такое Phobos Ransomware?

Phobos Ransomware шифрует данные до тех пор, пока не будет выплачен выкуп. Согласно последним исследованиям, 77% атак Phobos оказываются успешными. Впервые эта вредоносная программа была зафиксирована в дикой природе в октябре 2017 года.

Общее описание Phobos Ransomware

Phobos ransomware появилась в 2017 году в семействе Dharma, также известном как CrySIS. Через год Phobos быстро развился и распространился. В 2019 году на его долю пришлось 8,9% представленных ransomware-атак. В первом квартале 2020 года штамм Phobos был отмечен как один из самых распространенных ransomware с 9,70% поданных заявок. Он постоянно получает обновления и новые версии.

Эта программа нацелена на организации по всему миру. Phobos компрометирует RDP-серверы, которые открыты или имеют слабую защиту. Затем киберпреступники рассылают письма с выкупом, в которых жертве предлагается связаться с одним из электронных адресов, чтобы получить ключ дешифровки.

Атакующие Phobos точно так же, как и Dharma, могут обсуждать сумму выкупа в зависимости от компании. Сумма выкупа может достигать 20 000 долларов США в биткоинах. Это ниже, чем обычно требуют выкупные программы, потому что Phobos выбирает в качестве жертв небольшие компании. А иногда киберпреступники не отдают ключ дешифровки даже после оплаты.

Вредоносная программа использует шифрование данных с помощью AES и добавляет к зараженным файлам такие расширения, как .phobos, .phoenix, .actin, .help, .mamba и другие. Эти файлы могут быть полностью или частично зашифрованы.

Phobos назван в честь греческого бога страха, но ничего божественного в нем нет. Преступники покупают эту вредоносную программу в RaaS-пакетах, поэтому даже без глубоких технических знаний у них есть возможность разработать свой собственный штамм и организовать атаку на выбранную жертву.

Процесс выполнения Phobos Ransomware

Процесс выполнения Phobos ransomware относительно типичен для такого типа вредоносных программ, как Troldesh. Исполняемый файл проникает в зараженную систему и запускается, после чего начинается основная вредоносная деятельность. После начала выполнения Ransomware удаляет теневые копии. Интересно, что сразу после шифрования всех целевых файлов Phobos выводит на рабочий стол записку с требованием выкупа, которая сама является исполняемым файлом ransomware.

Распространение Phobos Ransomware

У Phobos есть несколько способов попасть на ваш компьютер:

  • фишинговые электронные письма с вложениями
  • плохо защищенные порты RDP
  • поддельные обновления
  • эксплойты
  • обманные загрузки
  • веб-инжекторы
  • перепакованные и зараженные программы установки

Эти методы распространения помогают злоумышленникам похищать информацию жертв и шифровать данные, запуская троянские или другие вредоносные программы. Причем разнообразие зараженных файлов огромно: документы, PDF и текстовые файлы, базы данных, фото и видео, архивы и т.д. Они могут располагаться как во внутренних, так и во внешних папках. Phobos избавляется от теневых копий файлов и резервных копий.

Заключение

Phobos не является новым типом ransomware, более того, он имеет некоторые сходства с Dharma. Преступникам, использующим Phobos, нет необходимости быть квалифицированными специалистами. Тем не менее, эта программа-вымогатель постоянно развивается, а ее атаки эффективны. У нее есть множество способов проникнуть на ваше устройство, чтобы получить выкуп. Именно поэтому Phobos может представлять серьезную угрозу для организаций.

Поделиться с друзьями
SEC-1275-1