Mis on Phobose pahavara (03.29.24)

Phobos on lunavara tüüpi pahavara, mis krüpteerib kasutaja faili AES 256-bitise krüptimisstandardi abil. Pärast seda nõuab see ohvri osa koos lunarahaga, mis tuleb maksta Bitcoinides.

Phobosid märgati esmakordselt 2019. aastal ja see on omistatud samale häkkerirühmale, kes vastutab lunavara Dharma eest. Seda levitatakse enamasti häkkinud kaugtöölauaühenduste kaudu.

Phobos krüpteerib mitmesuguseid faile, sealhulgas käivitatavaid. Tavaliselt lisatakse krüptitud failidele ka ründaja e-post. Krüptimise üldine muster on: .id [-] [] ..

Mida suudab Phobose pahavara viirus?

Nii nagu Dharma, nakatab Phobos ka arvuteid, kasutades võrkudesse imbumiseks ja käivitamiseks halvasti turvatud RDP-porte. lunavara rünnak.

Pärast failide krüptimist laiendiga .phobos palub lunavara maksta lunaraha Bitcoinsis tumedale veebiaadressile, mida jagatakse readme.txt dokumendi kaudu. Mõnel pahavara ohvril on palutud oma failide taastamise võimaluse eest maksta kuni 3000 dollarit.

Enne krüptimise käivitamist tapab pahavaraüksus protsessid, mis võivad blokeerida juurdepääsu krüptimiseks suunatud. Järgmine on tapetud protsesside täielik loetelu:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • sqlwriter.exeoracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

Järgmine pilt näitab Phobose pahavarakoodi fragmenti ja kuidas see tapmisprotsessi suunab:

Üks põhjustest, miks küberkurjategijad saavad öelda, et Dharma ja Phobose pahavaraüksused on loodud sama vaatamata sellele, et neil on erinev kood, on asjaolu, et neil on sama lunaraha. Kirjatüüp ja tekst on samad.

Kuidas eemaldada Phobose pahavara

Parim viis Phobose pahavaraga toimetulekuks on pahavaravastase lahenduse juurutamine ja küberkurjategijatega ühenduse võtmisest hoidumine. On tõsi, et lunaraha maksmine võib säästa failide kaotamise valu, kuid see pole ideaalne lahendus.

Küberkurjategijatele ei saa usaldada dekrüpteerimisvõtmete edastamist ja isegi kui nad saaksid, teeb see selle tõenäolisem, et nad ründavad tulevikus, kui teie ja teised, kes otsustavad maksta, julgustage neid seda tegema.

On leitud, et pahavara vastased lahendused on viiruste vastu tõhusamad, kui arvuti on sisse lülitatud. Ohutu režiim. Selle põhjuseks on asjaolu, et turvarežiimis töötab ainult minimaalselt Windowsi rakendusi ja seadeid ning seepärast on rohkem pahatahtliku üksuse jahtimiseks vaja arvutada.

Phobose lunavara kasutab teadaolevalt ka mitut püsivat protsessi, näiteks kui installib ennast kaustadesse% APPDATA% ja ​​Startup, kus ta lisab käivitusregistrivõtmed automaatkäivitusele. Turvarežiimis on automaatkäivituse üksused keelatud.

Teine tarkvara, mida võib Phobose pahavara vastu võitlemisel vaja minna, on arvuti parandamise tööriist. See puhastab teie arvutit ja parandab katkiseid registrikirjeid.

Kuidas kaitsta arvutit Phobose pahavara eest

Selle Phobose pahavara eemaldamise juhendi osana jagame teiega ka mõningaid näpunäiteid, kuidas vältida lunavara nakatumine. Phobose lunavara sihib enamasti ettevõtteid, kes kasutavad kaugtöölaua protokolli (RDP) juurdepääsu. Seega saavad ettevõtted vaadata, kus maaelu arengukava on lubatud, kas keelata või veenduda, et volikirjad on piisavalt tugevad, et toore jõu rünnakuid ei saaks juhtuda. Selleks soovitame kasutada kaheastmelist autentimist.

Samal ajal peavad ettevõtted kokku leppima kõigi jaoks ühise küberturvalisuse strateegias, sest nii on riske kergem maandada.


Youtube video: Mis on Phobose pahavara

03, 2024