Phobos ransomware

Cuadro de Mando de Amenazas

Nivel de amenaza: 100 % (Elevado)
Computadoras infectadas: 1,621
Visto por primera vez: July 24, 2009
Ultima vez visto: July 16, 2020
SO(s) afectados: Windows

Phobos Ransomware es un troyano de cifrado ransomware que se observó por primera vez el 21 de octubre de 2017. Phobos Ransomware se está utilizando para apuntar a usuarios de computadoras en Europa Occidental y Estados Unidos y entrega sus mensajes de rescate en inglés a las víctimas. La principal forma en que se distribuye Phobos Ransomware es mediante el uso de archivos adjuntos de correo electrónico no deseado, que pueden aparecer como documentos de Microsoft Word que tienen macros habilitadas. Estos scripts de macros están diseñados para descargar e instalar Phobos Ransomware en la computadora de la víctima cuando se accede al archivo dañado. Es probable que Phobos Ransomware sea una amenaza independiente, ya que no parece pertenecer a una amplia familia de proveedores de Ransomware como servicio (RaaS).


Esta semana en Malware Ep2: Phobos Ransomware se dirige a Europa occidental y EE. UU.

Cómo identificar los archivos cifrados por Phobos Ransomware

Como la mayoría de otras amenazas similares, Phobos Ransomware funciona cifrando los archivos de la víctima mediante un algoritmo de cifrado fuerte. El cifrado hace que los archivos sean inaccesibles, lo que permite que Phobos Ransomware tome como rehenes los datos de la víctima hasta que la víctima pague un rescate. Phobos Ransomware se dirigirá a los archivos generados por el usuario, que pueden incluir archivos con las siguientes extensiones:

.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb , .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid,. mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg, .part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip.

Como se puede observar en la lista anterior, Phobos Ransomware se dirige a documentos, medios, imágenes y otros archivos de uso común, y los cifra con el cifrado AES 256. Una vez que los archivos de la víctima han sido encriptados, Phobos Ransomware se comunicará con su servidor de Comando y Control para transmitir datos sobre la computadora infectada, así como recibir datos de configuración. Phobos Ransomware identificará los archivos cifrados por su ataque cambiando sus nombres a la siguiente cadena:

..ID [ocho caracteres aleatorios]. [Ottozimmerman@protonmail.ch] .PHOBOS

Las demandas de rescate de Phobos Ransomware

Phobos Ransomware entrega una nota de rescate en forma de una ventana de programa con el título '¡Sus archivos están encriptados!' después de que los archivos de la víctima hayan sido encriptados y renombrados. Esta ventana del programa incluye el logo 'PHOBOS' en una de las esquinas de la ventana y afirma que la víctima debe pagar un rescate para restaurar los archivos infectados. La nota de rescate que aparece en Phobos Ransomware durante su ataque a la computadora de la víctima dice:

'Todos tus archivos están encriptados
Hola Mundo
Los datos de esta PC se convirtieron en un código binario inútil
Para volver a la normalidad, contáctenos por este correo electrónico: OttoZimmerman@protonmail.ch
Establezca el tema de su mensaje en "ID de cifrado: [8 caracteres aleatorios]"
Datos interesantes:
1. Con el tiempo, el costo aumenta, no pierda su tiempo
2. Solo nosotros podemos ayudarte, seguro, nadie más.
3. TENGA CUIDADO Si aún intenta encontrar otras soluciones al problema, haga una copia de seguridad de los archivos con los que desea experimentar, a. Jugar con ellos. De lo contrario, pueden dañarse permanentemente.
4. Cualquier servicio que te ofrezca ayuda o simplemente te quite dinero y desaparezca, o serán intermediarios entre nosotros, con valor inflado. Dado que el antídoto está solo entre los creadores del virus
PHOBOS '

Lidiando con Phobos Ransomware

Desafortunadamente, una vez que Phobos Ransomware cifra los archivos, resulta imposible restaurar los archivos afectados sin la clave de descifrado. Debido a esto, es importante tomar medidas preventivas para garantizar que sus datos estén bien protegidos. La mejor protección contra amenazas como Phobos Ransomware es tener un sistema de respaldo confiable. Tener copias de seguridad de todos los archivos significa que las víctimas del ataque Phobos Ransomware pueden restaurar sus datos después de un ataque de forma rápida y confiable.

Actualización 4 de enero de 2019 - 'Job2019@tutanota.com' Ransomware

El 'Job2019@tutanota.com' Ransomware se clasifica como una variante ligeramente actualizada del Phobos Ransomware que se lanzó inicialmente en octubre de 2017. El ransomware 'Job2019@tutanota.com' aparece un poco más de un año después sin actualizaciones significativas para mostrar. El ransomware 'Job2019@tutanota.com' se identificó en enero de 2019 y parece extenderse de la misma manera que su predecesor. La carga útil de la amenaza se entrega a través de scripts de macros incrustados en archivos de Microsoft Word que puede ver adjuntos a actualizaciones aparentemente oficiales de las redes sociales y tiendas en línea. Es probable que el ransomware 'Job2019@tutanota.com' cree una carpeta temporal en la unidad del sistema principal y cargue un proceso con un nombre aleatorio en el Administrador de tareas. El troyano ransomware 'Job2019@tutanota.com' está configurado para eliminar las instantáneas de Shadow Volume antes de codificar sus fotos, texto, música y video. Se sabe que la nueva variante promueve los servicios de descifrado a través de dos cuentas de correo electrónico, a saber: 'Job2019@tutanota.com' y 'Cadillac.407@aol.com'. La nota de rescate tiene el estilo de una pequeña ventana de programa coloreada en el mismo tono de azul que el tema predeterminado de Windows 10. Se informa que el troyano muestra una ventana llamada '¡Sus archivos están encriptados!'. La ventana parece estar cargada desde 'Phobos.hta', que se coloca en la carpeta Temp en Windows y dice:

'Todos tus archivos están encriptados
Hola Mundo
Los datos de esta PC se convirtieron en un código binario inútil
Para volver a la normalidad, contáctenos por este correo electrónico: OttoZimmerman@protonmail.ch
Establezca el tema de su mensaje en 'ID de cifrado: [número de 8 dígitos]
1. Con el tiempo, el costo aumenta, no pierda su tiempo
2. Solo nosotros podemos ayudarte, seguro, nadie más.
3. ¡¡¡CUIDADO !!! Si aún intenta encontrar otras soluciones al problema, haga una copia de seguridad de los archivos con los que desea experimentar y juegue con ellos. De lo contrario, pueden dañarse permanentemente.
4. Cualquier servicio que te ofrezca ayuda o simplemente te quite dinero y desaparezca, o serán intermediarios entre nosotros, con valor inflado. Dado que el antídoto está solo entre los creadores del virus '

Se dice que algunas variantes del ransomware 'Job2019@tutanota.com' producen un cuadro de diálogo simple en lugar de '¡Sus archivos están encriptados!' pantalla que dice:

'Todos tus archivos están encriptados
Para descifrar sus archivos, contáctenos usando este correo electrónico: [dirección de correo electrónico] Por favor, establezca el tema 'ID de cifrado: [número de 8 dígitos].
Ofrecemos descifrado gratuito de sus archivos de prueba como prueba. Puede adjuntarlos a su correo electrónico y le enviaremos los descifrados.
El precio del descifrado aumenta con el tiempo, date prisa y obtén un descuento.
El descifrado con terceros puede dar lugar a una estafa o un aumento del precio '.

Los datos afectados pueden recibir una de dos extensiones: '.ID- [número de 8 dígitos]. [Job2019@tutanota.com] .phobos' o '.ID- [número de 8 dígitos]. [Job2019@tutanota.com] .phobos . Por ejemplo, 'Sabaton-Carolus Rex.mp3' puede cambiarse a 'Sabaton-Carolus Rex.mp3.ID-91651720. [Job2019@tutanota.com] .phobos' y 'Sabaton-Carolus Rex.mp3.ID-68941751. [Job2019@tutanota.com] .phobos. ' Recomendamos evitar las negociaciones con los actores del ransomware porque es posible que no reciba un descifrador. Debe usar copias de seguridad de datos para reconstruir la estructura de sus archivos y ejecutar un análisis completo del sistema para eliminar los recursos que pueden haber dejado el ransomware 'Job2019@tutanota.com'.

Alias

5 proveedores de seguridad marcaron este archivo como malicioso.

Software antivirus Detección
CAT-QuickHeal Win32.Trojan.Obfuscated.gx.3
AVG Downloader.Obfuskated
Prevx1 Covert.Sys.Exec
Microsoft TrojanDownloader:Win32/Agent.ZZC
AntiVir TR/Crypt.XPACK.Gen

Phobos ransomware capturas de pantalla

Detalles del Sistema de Archivos

Phobos ransomware puede crear los siguientes archivos:
# Nombre MD5 Detecciones
1. rrr_output7251B30.exe b3b69dabf55cf7a7955960d0c0575c27 72
2. rrr_output713F8B0.exe 29d51846a76a1bfbac91df5af4f7570e 64
3. rrr_output8F2121F.exe 5d533ba319fe6fd540d29cf8366775b1 63
4. rrr_outputEE209BF.exe 3677195abb0dc5e851e9c4bce433c1d2 59
5. rrr_output89A8FEF.exe 75d594f166d438ded4f4f1495a9b57b6 51
6. rrr_output354CF0.exe 360f782f4a688aba05f73b7a0d68ef43 51
7. rrr_output7492970.exe 376625a4a031656f0667723cd601f333 49
8. yvihok.exe 00db62e1b519159b0c20c00c2e97288b 46
9. rrr_outputE17E73F.exe f9ef51967dcb4120df9919ac5423bc13 39
10. rrr_outputDBB65DF.exe cd16baef95d0f47387e7336ceab30e19 32
11. rr_output89224BF.exe fb9df7345520194538db6eef48fb0652 31
12. rrr_outputF71089F.exe 3d5ec29f0374fce02c5816c24907cafe 27
13. rr_output5F98E0.exe 559973f8550ce68f7bae9c3e3aaa26aa 21
14. rrr_outputF0DA6CF.exe f653bc6e6dda82e487bfc4bc5197042b 21
15. rr_output12C4770.exe 45a9b21bd51f52db2b58ae7ae94cd668 18
16. rrr_output940674F.exe b76fbb1b51118459d119d2be049d7aa5 18
17. rrr_output3A9CF40.exe 6fa328484123906a6cfbbf5c6d7f9587 10
18. rrr_outputD25868F.exe b43db466c60b32a1b76fe3095851d026 8
19. rrr_output43F40E0.exe 5c2753e929fa1abaefec2a092f1726a6 7
20. rrr_output43f40e0.exe d1258b39c924746ed711af72e35e8262 5
21. ac044b97c4bfecc78ffa3efa53ffd0938eab2d04e3ec983a5bbb0fd5059aaaec.exe 26c23da3b8683eb3a727d54dcb8ce2f0 5
22. rr_output516C100.exe e8dedea6ce819f863da0c75c9d9bccde 4
23. rrr_output8f0a14f.exe 52e6b8ee647e675969d36b69070d1047 4
Más Archivos

Detalles del Registro

Phobos ransomware puede crear la siguiente entrada o entradas de registro:
File name without path
svhost..exe
Regexp file mask
%APPDATA%\microsoft\windows\start menu\programs\startup\ph_exec.exe
%appdata%\microsoft\windows\start menu\programs\startup\r{1,5}_outputw{6,8}.exe
%LOCALAPPDATA%\ph_exec.exe
%localappdata%\r{1,5}_outputw{6,8}.exe

Artículos Relacionados

Tendencias

Mas Visto

Cargando...