มัลแวร์โฟบอสคืออะไร (04.19.24)

ป้องกันมัลแวร์

Phobos เป็นมัลแวร์เรียกค่าไถ่ชนิดหนึ่งที่เข้ารหัสไฟล์ของผู้ใช้โดยใช้มาตรฐานการเข้ารหัส AES 256 บิต หลังจากนั้นก็เรียกร้องให้ส่วนหนึ่งของเหยื่อมีค่าไถ่ซึ่งต้องจ่ายเป็น Bitcoins

Phobos ถูกพบครั้งแรกในปี 2019 และมาจากกลุ่มแฮ็กเกอร์กลุ่มเดียวกันที่รับผิดชอบแรนซัมแวร์ Dharma ส่วนใหญ่จะเผยแพร่ผ่านการเชื่อมต่อเดสก์ท็อประยะไกลที่ถูกแฮ็ก

Phobos เข้ารหัสไฟล์ต่างๆ รวมถึงไฟล์สั่งการ โดยปกติ ไฟล์ที่เข้ารหัสจะมีอีเมลของผู้โจมตีเพิ่มเข้ามาด้วย รูปแบบทั่วไปของการเข้ารหัสคือ: .id[-][]..

ไวรัสมัลแวร์ Phobos สามารถทำอะไรได้บ้าง

เช่นเดียวกับธรรมะ Phobos แพร่ระบาดในคอมพิวเตอร์โดยใช้ประโยชน์จากพอร์ต RDP ที่มีความปลอดภัยต่ำเพื่อแทรกซึมเครือข่ายและดำเนินการ การโจมตีของแรนซัมแวร์

หลังจากเข้ารหัสไฟล์ด้วยนามสกุล .phobos แล้ว ransomware จะขอให้จ่ายเงินค่าไถ่เป็น Bitcoins ไปยังที่อยู่เว็บมืดที่แชร์ผ่านเอกสาร readme.txt ผู้ที่ตกเป็นเหยื่อของมัลแวร์บางคนถูกขอให้จ่ายเงินมากถึง $3,000 เพื่อโอกาสในการได้ไฟล์กลับคืนมา

ก่อนดำเนินการเข้ารหัส เอนทิตีมัลแวร์จะฆ่ากระบวนการที่อาจบล็อกการเข้าถึงไฟล์ กำหนดเป้าหมายสำหรับการเข้ารหัส ต่อไปนี้เป็นรายการทั้งหมดของกระบวนการที่ถูกฆ่า:

msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exeoracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
agntsvc.exe
mydesktopqos.exe
isqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
li>
ocautoupds.exe
agntsvc.exe
agntsvc.exe
agntsvc.exe
encsvc.exe
li>
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

รูปภาพต่อไปนี้แสดงชิ้นส่วนของโค้ดมัลแวร์ Phobos และวิธีที่โค้ดควบคุมกระบวนการฆ่า:

สาเหตุหนึ่งที่อาชญากรไซเบอร์สามารถบอกได้ว่ามัลแวร์ Dharma และ Phobos นั้นถูกสร้างขึ้นโดยสิ่งเดียวกัน กลุ่มแม้จะมีรหัสที่แตกต่างกันคือความจริงที่ว่าพวกเขาใช้บันทึกเรียกค่าไถ่เดียวกัน แบบอักษรและข้อความเหมือนกัน

วิธีลบมัลแวร์โฟบอส

วิธีที่ดีที่สุดในการจัดการกับมัลแวร์ Phobos คือการปรับใช้โซลูชันป้องกันมัลแวร์และงดเว้นจากการติดต่ออาชญากรไซเบอร์ เป็นความจริงที่การจ่ายค่าไถ่อาจช่วยให้คุณไม่ต้องเจ็บปวดจากการสูญเสียไฟล์ แต่ก็ไม่ใช่วิธีแก้ปัญหาที่ดี

อาชญากรไซเบอร์ไม่สามารถเชื่อถือได้ในการส่งคีย์ถอดรหัสและถึงแม้จะทำได้ แต่ก็ทำให้สำเร็จ มีแนวโน้มมากขึ้นที่พวกเขาจะโจมตีในอนาคตในขณะที่คุณและคนอื่นๆ ที่เลือกจ่ายเงิน ขอแนะนำให้พวกเขาทำเช่นนั้น

พบว่าโซลูชันป้องกันมัลแวร์มีประสิทธิภาพในการป้องกันไวรัสมากขึ้นเมื่อเปิดคอมพิวเตอร์ โหมดปลอดภัย. นี่เป็นเพราะว่า Safe Mode ใช้งานแอพและการตั้งค่า Windows ขั้นต่ำเท่านั้น ดังนั้นจึงต้องใช้การประมวลผลมากขึ้นเพื่อไล่ตามเอนทิตีมัลแวร์

Phobos ransomware ยังรู้จักใช้กระบวนการต่อเนื่องหลายอย่าง เช่น เมื่อติดตั้งตัวเองในโฟลเดอร์ %APPDATA% และ Startup ซึ่งจะเพิ่มคีย์รีจิสทรีเริ่มต้นเพื่อเริ่มการทำงานอัตโนมัติ ในเซฟโหมด รายการเริ่มอัตโนมัติจะถูกปิดใช้งาน

ซอฟต์แวร์อีกชิ้นหนึ่งที่คุณอาจต้องการเมื่อคุณต่อสู้กับมัลแวร์ Phobos คือเครื่องมือซ่อมแซมพีซี มันจะทำความสะอาดคอมพิวเตอร์ของคุณและซ่อมแซมรายการรีจิสตรีที่เสียหาย

วิธีป้องกันคอมพิวเตอร์ของคุณจากมัลแวร์ Phobos

ในคู่มือการกำจัดมัลแวร์ Phobos นี้ เราจะแบ่งปันเคล็ดลับสองสามข้อเกี่ยวกับวิธีการหลีกเลี่ยงกับคุณ การติดเชื้อโดย ransomware มัลแวร์เรียกค่าไถ่ของ Phobos มุ่งเป้าไปที่องค์กรที่ใช้การเข้าถึงโปรโตคอลเดสก์ท็อประยะไกล (RDP) ดังนั้น ธุรกิจสามารถตรวจสอบตำแหน่งที่เปิดใช้งาน RDP และปิดการใช้งานหรือตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวนั้นแข็งแกร่งเพียงพอที่การโจมตีด้วยกำลังเดรัจฉานไม่สามารถเกิดขึ้นได้ สำหรับสิ่งนี้ เราขอแนะนำให้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

ในขณะเดียวกัน ธุรกิจจำเป็นต้องยอมรับกลยุทธ์ความปลอดภัยทางไซเบอร์ทั่วไปสำหรับทุกคน เพราะวิธีนี้จะช่วยลดความเสี่ยงได้ง่ายขึ้น