Was ist die Phobos-Malware? (04.19.24)
Phobos ist eine Ransomware-Malware, die die Datei eines Benutzers mit dem Verschlüsselungsstandard AES 256-Bit verschlüsselt. Danach verlangt es, dass der Teil des Opfers mit einem Lösegeldbetrag in Bitcoins bezahlt werden muss.
Phobos wurde erstmals 2019 entdeckt und wird derselben Hackergruppe zugeschrieben, die für die Dharma-Ransomware verantwortlich ist. Es wird hauptsächlich über gehackte Remote-Desktop-Verbindungen verbreitet.
Phobos verschlüsselt eine Vielzahl von Dateien, einschließlich ausführbarer Dateien. Normalerweise wird den verschlüsselten Dateien auch die E-Mail des Angreifers hinzugefügt. Das allgemeine Muster der Verschlüsselung ist: .id[-][]..
Was kann der Phobos-Malware-Virus tun?Genau wie Dharma infiziert Phobos Computer, indem es schlecht gesicherte RDP-Ports ausnutzt, um Netzwerke zu infiltrieren und auszuführen ein Ransomware-Angriff.
Nachdem die Dateien mit der Erweiterung .phobos verschlüsselt wurden, fordert die Ransomware die Zahlung eines Lösegeldbetrags in Bitcoins an eine dunkle Webadresse an, die über ein readme.txt-Dokument geteilt wird. Einige Opfer der Malware wurden aufgefordert, bis zu 3000 US-Dollar für die Möglichkeit zu zahlen, ihre Dateien zurückzubekommen.
Bevor die Verschlüsselung ausgeführt wird, beendet die Malware-Entität Prozesse, die den Zugriff auf die Dateien blockieren könnten, die gezielt zur Verschlüsselung. Im Folgenden finden Sie eine vollständige Liste der beendeten Prozesse:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exeoracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- agntsvc.exe
- mydesktopqos.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
Die folgende Abbildung zeigt ein Fragment des Phobos-Malware-Codes und wie er den Tötungsprozess steuert: 
Einer der Gründe, warum Cyberkriminelle erkennen können, dass Dharma und die Phobos-Malware-Entitäten von denselben erstellt wurden Gruppe, obwohl sie unterschiedlichen Code haben, ist die Tatsache, dass sie die gleiche Lösegeldforderung haben. Die Schriftart und der Text sind gleich.
So entfernen Sie die Phobos-MalwareDer beste Weg, um mit der Phobos-Malware umzugehen, besteht darin, eine Anti-Malware-Lösung bereitzustellen und die Cyberkriminellen nicht zu kontaktieren. Es ist wahr, dass die Zahlung des Lösegelds Ihnen den Verlust Ihrer Dateien ersparen könnte, aber es ist keine ideale Lösung.
Cyberkriminellen kann man nicht vertrauen, dass sie die Entschlüsselungsschlüssel liefern, und selbst wenn sie es könnten, macht es es möglich Es ist wahrscheinlicher, dass sie in Zukunft angreifen, da Sie und die anderen, die sich dafür entscheiden, zu zahlen, sie dazu ermutigen.
Anti-Malware-Lösungen haben sich als effektiver gegen Viren erwiesen, wenn der Computer eingeschaltet ist Sicherheitsmodus. Dies liegt daran, dass im abgesicherten Modus nur ein Minimum an Windows-Apps und -Einstellungen ausgeführt wird und daher mehr Rechenaufgaben für die Jagd nach der Malware-Entität erforderlich sind.
Die Phobos-Ransomware verwendet auch mehrere persistente Prozesse, wie z als sich selbst im %APPDATA%- und Autostart-Ordner installieren, wo es Autostart-Registrierungsschlüssel hinzufügt. Im abgesicherten Modus sind die Autostart-Elemente deaktiviert.
Eine weitere Software, die Sie möglicherweise im Kampf gegen die Phobos-Malware benötigen, ist ein PC-Reparaturtool. Es wird sowohl Ihren Computer säubern als auch beschädigte Registrierungseinträge reparieren.
So schützen Sie Ihren Computer vor Phobos-MalwareAls Teil dieser Anleitung zum Entfernen von Phobos-Malware geben wir Ihnen auch einige Tipps zur Vermeidung eine Infektion durch die Ransomware. Die Phobos-Ransomware zielt hauptsächlich auf Unternehmen ab, die den Remote Desktop Protocol (RDP)-Zugriff verwenden. Auf diese Weise können Unternehmen überprüfen, wo RDP aktiviert wurde, und entweder deaktivieren oder sicherstellen, dass die Anmeldeinformationen strong genug sind, um Brute-Force-Angriffe auszuschließen. Hierfür empfehlen wir die Verwendung der Zwei-Faktor-Authentifizierung.
Gleichzeitig müssen sich Unternehmen auf eine gemeinsame Cybersicherheitsstrategie für alle einigen, denn so lassen sich Risiken leichter minimieren.
YouTube-Video.: Was ist die Phobos-Malware?
04, 2024