Phobos ransomware

Phobos ransomware Descripción

Captura de pantalla de Phobos Ransomware Phobos Ransomware es un troyano de cifrado ransomware que se observó por primera vez el 21 de octubre de 2017. Phobos Ransomware se está utilizando para apuntar a usuarios de computadoras en Europa Occidental y Estados Unidos y entrega sus mensajes de rescate en inglés a las víctimas. La principal forma en que se distribuye Phobos Ransomware es mediante el uso de archivos adjuntos de correo electrónico no deseado, que pueden aparecer como documentos de Microsoft Word que tienen macros habilitadas. Estos scripts de macros están diseñados para descargar e instalar Phobos Ransomware en la computadora de la víctima cuando se accede al archivo dañado. Es probable que Phobos Ransomware sea una amenaza independiente, ya que no parece pertenecer a una amplia familia de proveedores de Ransomware como servicio (RaaS).


Esta semana en Malware Ep2: Phobos Ransomware se dirige a Europa occidental y EE. UU.

Cómo identificar los archivos cifrados por Phobos Ransomware

Como la mayoría de otras amenazas similares, Phobos Ransomware funciona cifrando los archivos de la víctima mediante un algoritmo de cifrado fuerte. El cifrado hace que los archivos sean inaccesibles, lo que permite que Phobos Ransomware tome como rehenes los datos de la víctima hasta que la víctima pague un rescate. Phobos Ransomware se dirigirá a los archivos generados por el usuario, que pueden incluir archivos con las siguientes extensiones:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Como se puede observar en la lista anterior, Phobos Ransomware se dirige a documentos, medios, imágenes y otros archivos de uso común, y los cifra con el cifrado AES 256. Una vez que los archivos de la víctima han sido encriptados, Phobos Ransomware se comunicará con su servidor de Comando y Control para transmitir datos sobre la computadora infectada, así como recibir datos de configuración. Phobos Ransomware identificará los archivos cifrados por su ataque cambiando sus nombres a la siguiente cadena:

..ID [ocho caracteres aleatorios]. [Ottozimmerman@protonmail.ch] .PHOBOS

Las demandas de rescate de Phobos Ransomware

Phobos Ransomware entrega una nota de rescate en forma de una ventana de programa con el título '¡Sus archivos están encriptados!' después de que los archivos de la víctima hayan sido encriptados y renombrados. Esta ventana del programa incluye el logo 'PHOBOS' en una de las esquinas de la ventana y afirma que la víctima debe pagar un rescate para restaurar los archivos infectados. La nota de rescate que aparece en Phobos Ransomware durante su ataque a la computadora de la víctima dice:

'Todos tus archivos están encriptados
Hola Mundo
Los datos de esta PC se convirtieron en un código binario inútil
Para volver a la normalidad, contáctenos por este correo electrónico: OttoZimmerman@protonmail.ch
Establezca el tema de su mensaje en "ID de cifrado: [8 caracteres aleatorios]"
Datos interesantes:
1. Con el tiempo, el costo aumenta, no pierda su tiempo
2. Solo nosotros podemos ayudarte, seguro, nadie más.
3. TENGA CUIDADO Si aún intenta encontrar otras soluciones al problema, haga una copia de seguridad de los archivos con los que desea experimentar, a. Jugar con ellos. De lo contrario, pueden dañarse permanentemente.
4. Cualquier servicio que te ofrezca ayuda o simplemente te quite dinero y desaparezca, o serán intermediarios entre nosotros, con valor inflado. Dado que el antídoto está solo entre los creadores del virus
PHOBOS '

Lidiando con Phobos Ransomware

Desafortunadamente, una vez que Phobos Ransomware cifra los archivos, resulta imposible restaurar los archivos afectados sin la clave de descifrado. Debido a esto, es importante tomar medidas preventivas para garantizar que sus datos estén bien protegidos. La mejor protección contra amenazas como Phobos Ransomware es tener un sistema de respaldo confiable. Tener copias de seguridad de todos los archivos significa que las víctimas del ataque Phobos Ransomware pueden restaurar sus datos después de un ataque de forma rápida y confiable.

Actualización 4 de enero de 2019 - 'Job2019@tutanota.com' Ransomware

El 'Job2019@tutanota.com' Ransomware se clasifica como una variante ligeramente actualizada del Phobos Ransomware que se lanzó inicialmente en octubre de 2017. El ransomware 'Job2019@tutanota.com' aparece un poco más de un año después sin actualizaciones significativas para mostrar. El ransomware 'Job2019@tutanota.com' se identificó en enero de 2019 y parece extenderse de la misma manera que su predecesor. La carga útil de la amenaza se entrega a través de scripts de macros incrustados en archivos de Microsoft Word que puede ver adjuntos a actualizaciones aparentemente oficiales de las redes sociales y tiendas en línea. Es probable que el ransomware 'Job2019@tutanota.com' cree una carpeta temporal en la unidad del sistema principal y cargue un proceso con un nombre aleatorio en el Administrador de tareas. El troyano ransomware 'Job2019@tutanota.com' está configurado para eliminar las instantáneas de Shadow Volume antes de codificar sus fotos, texto, música y video. Se sabe que la nueva variante promueve los servicios de descifrado a través de dos cuentas de correo electrónico, a saber: 'Job2019@tutanota.com' y 'Cadillac.407@aol.com'. La nota de rescate tiene el estilo de una pequeña ventana de programa coloreada en el mismo tono de azul que el tema predeterminado de Windows 10. Se informa que el troyano muestra una ventana llamada '¡Sus archivos están encriptados!'. La ventana parece estar cargada desde 'Phobos.hta', que se coloca en la carpeta Temp en Windows y dice:

'Todos tus archivos están encriptados
Hola Mundo
Los datos de esta PC se convirtieron en un código binario inútil
Para volver a la normalidad, contáctenos por este correo electrónico: OttoZimmerman@protonmail.ch
Establezca el tema de su mensaje en 'ID de cifrado: [número de 8 dígitos]
1. Con el tiempo, el costo aumenta, no pierda su tiempo
2. Solo nosotros podemos ayudarte, seguro, nadie más.
3. ¡¡¡CUIDADO !!! Si aún intenta encontrar otras soluciones al problema, haga una copia de seguridad de los archivos con los que desea experimentar y juegue con ellos. De lo contrario, pueden dañarse permanentemente.
4. Cualquier servicio que te ofrezca ayuda o simplemente te quite dinero y desaparezca, o serán intermediarios entre nosotros, con valor inflado. Dado que el antídoto está solo entre los creadores del virus '

Se dice que algunas variantes del ransomware 'Job2019@tutanota.com' producen un cuadro de diálogo simple en lugar de '¡Sus archivos están encriptados!' pantalla que dice:

'Todos tus archivos están encriptados
Para descifrar sus archivos, contáctenos usando este correo electrónico: [dirección de correo electrónico] Por favor, establezca el tema 'ID de cifrado: [número de 8 dígitos].
Ofrecemos descifrado gratuito de sus archivos de prueba como prueba. Puede adjuntarlos a su correo electrónico y le enviaremos los descifrados.
El precio del descifrado aumenta con el tiempo, date prisa y obtén un descuento.
El descifrado con terceros puede dar lugar a una estafa o un aumento del precio '.

Los datos afectados pueden recibir una de dos extensiones: '.ID- [número de 8 dígitos]. [Job2019@tutanota.com] .phobos' o '.ID- [número de 8 dígitos]. [Job2019@tutanota.com] .phobos . Por ejemplo, 'Sabaton-Carolus Rex.mp3' puede cambiarse a 'Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos' y 'Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. ' Recomendamos evitar las negociaciones con los actores del ransomware porque es posible que no reciba un descifrador. Debe usar copias de seguridad de datos para reconstruir la estructura de sus archivos y ejecutar un análisis completo del sistema para eliminar los recursos que pueden haber dejado el ransomware 'Job2019@tutanota.com'.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".


HTML no está permitido.