มัลแวร์โฟบอสคืออะไร (04.19.24)
Phobos เป็นมัลแวร์เรียกค่าไถ่ชนิดหนึ่งที่เข้ารหัสไฟล์ของผู้ใช้โดยใช้มาตรฐานการเข้ารหัส AES 256 บิต หลังจากนั้นก็เรียกร้องให้ส่วนหนึ่งของเหยื่อมีค่าไถ่ซึ่งต้องจ่ายเป็น Bitcoins
Phobos ถูกพบครั้งแรกในปี 2019 และมาจากกลุ่มแฮ็กเกอร์กลุ่มเดียวกันที่รับผิดชอบแรนซัมแวร์ Dharma ส่วนใหญ่จะเผยแพร่ผ่านการเชื่อมต่อเดสก์ท็อประยะไกลที่ถูกแฮ็ก
Phobos เข้ารหัสไฟล์ต่างๆ รวมถึงไฟล์สั่งการ โดยปกติ ไฟล์ที่เข้ารหัสจะมีอีเมลของผู้โจมตีเพิ่มเข้ามาด้วย รูปแบบทั่วไปของการเข้ารหัสคือ: .id[-][]..
ไวรัสมัลแวร์ Phobos สามารถทำอะไรได้บ้างเช่นเดียวกับธรรมะ Phobos แพร่ระบาดในคอมพิวเตอร์โดยใช้ประโยชน์จากพอร์ต RDP ที่มีความปลอดภัยต่ำเพื่อแทรกซึมเครือข่ายและดำเนินการ การโจมตีของแรนซัมแวร์
หลังจากเข้ารหัสไฟล์ด้วยนามสกุล .phobos แล้ว ransomware จะขอให้จ่ายเงินค่าไถ่เป็น Bitcoins ไปยังที่อยู่เว็บมืดที่แชร์ผ่านเอกสาร readme.txt ผู้ที่ตกเป็นเหยื่อของมัลแวร์บางคนถูกขอให้จ่ายเงินมากถึง $3,000 เพื่อโอกาสในการได้ไฟล์กลับคืนมา
ก่อนดำเนินการเข้ารหัส เอนทิตีมัลแวร์จะฆ่ากระบวนการที่อาจบล็อกการเข้าถึงไฟล์ กำหนดเป้าหมายสำหรับการเข้ารหัส ต่อไปนี้เป็นรายการทั้งหมดของกระบวนการที่ถูกฆ่า:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exeoracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe li>
- agntsvc.exe
- mydesktopqos.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- li>
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- li>
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
รูปภาพต่อไปนี้แสดงชิ้นส่วนของโค้ดมัลแวร์ Phobos และวิธีที่โค้ดควบคุมกระบวนการฆ่า:
สาเหตุหนึ่งที่อาชญากรไซเบอร์สามารถบอกได้ว่ามัลแวร์ Dharma และ Phobos นั้นถูกสร้างขึ้นโดยสิ่งเดียวกัน กลุ่มแม้จะมีรหัสที่แตกต่างกันคือความจริงที่ว่าพวกเขาใช้บันทึกเรียกค่าไถ่เดียวกัน แบบอักษรและข้อความเหมือนกัน
วิธีลบมัลแวร์โฟบอสวิธีที่ดีที่สุดในการจัดการกับมัลแวร์ Phobos คือการปรับใช้โซลูชันป้องกันมัลแวร์และงดเว้นจากการติดต่ออาชญากรไซเบอร์ เป็นความจริงที่การจ่ายค่าไถ่อาจช่วยให้คุณไม่ต้องเจ็บปวดจากการสูญเสียไฟล์ แต่ก็ไม่ใช่วิธีแก้ปัญหาที่ดี
อาชญากรไซเบอร์ไม่สามารถเชื่อถือได้ในการส่งคีย์ถอดรหัสและถึงแม้จะทำได้ แต่ก็ทำให้สำเร็จ มีแนวโน้มมากขึ้นที่พวกเขาจะโจมตีในอนาคตในขณะที่คุณและคนอื่นๆ ที่เลือกจ่ายเงิน ขอแนะนำให้พวกเขาทำเช่นนั้น
พบว่าโซลูชันป้องกันมัลแวร์มีประสิทธิภาพในการป้องกันไวรัสมากขึ้นเมื่อเปิดคอมพิวเตอร์ โหมดปลอดภัย. นี่เป็นเพราะว่า Safe Mode ใช้งานแอพและการตั้งค่า Windows ขั้นต่ำเท่านั้น ดังนั้นจึงต้องใช้การประมวลผลมากขึ้นเพื่อไล่ตามเอนทิตีมัลแวร์
Phobos ransomware ยังรู้จักใช้กระบวนการต่อเนื่องหลายอย่าง เช่น เมื่อติดตั้งตัวเองในโฟลเดอร์ %APPDATA% และ Startup ซึ่งจะเพิ่มคีย์รีจิสทรีเริ่มต้นเพื่อเริ่มการทำงานอัตโนมัติ ในเซฟโหมด รายการเริ่มอัตโนมัติจะถูกปิดใช้งาน
ซอฟต์แวร์อีกชิ้นหนึ่งที่คุณอาจต้องการเมื่อคุณต่อสู้กับมัลแวร์ Phobos คือเครื่องมือซ่อมแซมพีซี มันจะทำความสะอาดคอมพิวเตอร์ของคุณและซ่อมแซมรายการรีจิสตรีที่เสียหาย
วิธีป้องกันคอมพิวเตอร์ของคุณจากมัลแวร์ Phobosในคู่มือการกำจัดมัลแวร์ Phobos นี้ เราจะแบ่งปันเคล็ดลับสองสามข้อเกี่ยวกับวิธีการหลีกเลี่ยงกับคุณ การติดเชื้อโดย ransomware มัลแวร์เรียกค่าไถ่ของ Phobos มุ่งเป้าไปที่องค์กรที่ใช้การเข้าถึงโปรโตคอลเดสก์ท็อประยะไกล (RDP) ดังนั้น ธุรกิจสามารถตรวจสอบตำแหน่งที่เปิดใช้งาน RDP และปิดการใช้งานหรือตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวนั้นแข็งแกร่งเพียงพอที่การโจมตีด้วยกำลังเดรัจฉานไม่สามารถเกิดขึ้นได้ สำหรับสิ่งนี้ เราขอแนะนำให้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
ในขณะเดียวกัน ธุรกิจจำเป็นต้องยอมรับกลยุทธ์ความปลอดภัยทางไซเบอร์ทั่วไปสำหรับทุกคน เพราะวิธีนี้จะช่วยลดความเสี่ยงได้ง่ายขึ้น
วิดีโอ YouTube: มัลแวร์โฟบอสคืออะไร
04, 2024