Phobosランサムウェア

Phobosランサムウェア 説明

Phobosランサムウェアのスクリーンショット Phobos Ransomwareは、2017年10月21日に最初に観察された暗号化ランサムウェアトロイの木馬です。PhobosRansomwareは、西ヨーロッパと米国のコンピューターユーザーを標的にして、犠牲者に英語で身代金メッセージを配信するために使用されています。 Phobos Ransomwareが配布される主な方法は、マクロを有効にしたMicrosoftWord文書として表示される可能性のあるスパム電子メールの添付ファイルを使用することです。これらのマクロスクリプトは、破損したファイルにアクセスしたときに、PhobosRansomwareを被害者のコンピューターにダウンロードしてインストールするように設計されています。 Phobos Ransomwareは、Ransomware as a Service(RaaS)プロバイダーの広大なファミリーに属していないようであるため、独立した脅威である可能性があります。


今週のマルウェアEp2:PhobosRansomwareは西ヨーロッパと米国をターゲットにしています

Phobosランサムウェアによって暗号化されたファイルを識別する方法

他のほとんどの同様の脅威と同様に、Phobos Ransomwareは、強力な暗号化アルゴリズムを使用して被害者のファイルを暗号化することで機能します。暗号化によりファイルにアクセスできなくなり、Phobos Ransomwareは、被害者が身代金を支払うまで被害者のデータを人質にすることができます。 Phobos Ransomwareは、ユーザーが生成したファイルを対象とします。これには、次の拡張子のファイルが含まれる場合があります。

.aif、.apk、.arj、.asp、.bat、.bin、.cab、.cda、.cer、.cfg、.cfm、.cpl、.css、.csv、.cur、.dat、.deb 、.dmg、.dmp、.doc、.docx、.drv、.gif、.htm、.html、.icns、.iso、.jar、.jpeg、.jpg、.jsp、.log、.mid、。 mp3、.mp4、.mpa、.odp、.ods、.odt、.ogg、.part、.pdf、.php、.pkg、.png、.ppt、.pptx、.psd、.rar、.rpm、 .rss、.rtf、.sql、.svg、.tar.gz、.tex、.tif、.tiff、.toast、.txt、.vcd、.wav、.wks、.wma、.wpd、.wpl、 .wps、.wsf、.xlr、.xls、.xlsx、.zip。

上記のリストからわかるように、Phobos Ransomwareは、ドキュメント、メディア、画像、およびその他の一般的に使用されるファイルを対象とし、AES256暗号化を使用してそれらを暗号化します。被害者のファイルが暗号化された後、Phobos Ransomwareはコマンドアンドコントロールサーバーと通信して、感染したコンピューターに関するデータを中継し、構成データを受信します。 Phobos Ransomwareは、名前を次の文字列に変更することにより、攻撃によって暗号化されたファイルを識別します。

..ID [ランダムな8文字]。[ottozimmerman@protonmail.ch] .PHOBOS

Phobosランサムウェアの身代金要求

Phobos Ransomwareは、「ファイルは暗号化されています!」というタイトルのプログラムウィンドウの形式で身代金メモを配信します。被害者のファイルが暗号化され、名前が変更された後。このプログラムウィンドウには、ウィンドウの隅の1つにロゴ「PHOBOS」が含まれており、被害者は感染したファイルを復元するために身代金を支払う必要があると主張しています。被害者のコンピューターへの攻撃中にPhobosRansomwareが表示する身代金メモには、次のように書かれています。

'すべてのファイルは暗号化されています
こんにちは世界
このPC上のデータは役に立たないバイナリコードに実行されました
通常に戻るには、このメールでお問い合わせください:OttoZimmerman@protonmail.ch
メッセージのトピックを「暗号化ID:[ランダムな8文字]」に設定します
興味深い事実:
1.時間の経過とともに、コストが増加します。時間を無駄にしないでください
2.確かに、私たちだけがあなたを助けることができます。
3.注意してくださいそれでも問題の他の解決策を見つけようとする場合は、実験したいファイルのバックアップコピーを作成してください。それらと遊ぶ。そうしないと、恒久的に損傷する可能性があります。
4.あなたに助けを提供する、またはあなたからお金を受け取って消えるサービス、またはそれらは私たちの間の仲介者であり、価値が膨らんでいます。解毒剤はウイルスの作成者の間だけなので
PHOBOS '

Phobosランサムウェアの取り扱い

残念ながら、Phobos Ransomwareがファイルを暗号化すると、復号化キーなしで影響を受けたファイルを復元することは不可能になります。このため、データが適切に保護されるように先制措置を講じることが重要です。 Phobos Ransomwareのような脅威に対する最善の保護は、信頼性の高いバックアップシステムを用意することです。すべてのファイルのバックアップコピーがあるということは、Phobos Ransomware攻撃の被害者が、攻撃後にデータを迅速かつ確実に復元できることを意味します。

2019年1月4日更新—'Job2019@tutanota.com 'ランサムウェア

'Job2019@tutanota.com'ランサムウェアは、2017年10月に最初にリリースされたPhobosランサムウェアのわずかに更新された亜種として分類されます。 'Job2019@tutanota.com'ランサムウェアは、1年余り後に表示され、重要な更新は表示されません。 'Job2019@tutanota.com'ランサムウェアは2019年1月に特定され、前任者と同じように拡散しているようです。脅威のペイロードは、ソーシャルメディアやオンラインストアからの一見公式の更新に添付されているように見えるMicrosoftWordファイルに埋め込まれたマクロスクリプトを介して配信されます。 'Job2019@tutanota.com'ランサムウェアは、プライマリシステムドライブに一時フォルダを作成し、タスクマネージャにランダムな名前のプロセスをロードする可能性があります。 'Job2019@tutanota.com'ランサムウェアトロイの木馬は、写真、テキスト、音楽、ビデオをエンコードする前に、シャドウボリュームのスナップショットを削除するように構成されています。新しい亜種は、「Job2019@tutanota.com」と「Cadillac.407@aol.com」の2つの電子メールアカウントを介して復号化サービスを促進することが知られています。身代金メモは、デフォルトのWindows10テーマと同じ青の色合いの小さなプログラムウィンドウとしてスタイル設定されています。このトロイの木馬は、「ファイルは暗号化されています!」という名前のウィンドウを表示すると報告されています。ウィンドウは「Phobos.hta」からロードされているようです。これはWindowsのTempフォルダーにドロップされ、次のように表示されます。

'すべてのファイルは暗号化されています
こんにちは世界
このPCのデータは役に立たないバイナリコードに変わりました
通常に戻すには、この電子メールでお問い合わせください:OttoZimmerman@protonmail.ch
メッセージのトピックを「暗号化ID:[8桁の数字]」に設定します
1.時間の経過とともに、コストが増加します。時間を無駄にしないでください
2.確かに、私たちだけがあなたを助けることができます。
3.注意してください!!!それでも問題の解決策を見つけようとする場合は、実験したいファイルのバックアップコピーを作成し、それらを試してみてください。そうしないと、恒久的に損傷する可能性があります
4.あなたに助けを提供する、またはあなたからお金を受け取って消えるサービス、またはそれらは私たちの間の仲介者であり、価値が膨らんでいます。解毒剤はウイルスの作成者の間だけであるため」

「Job2019@tutanota.com」ランサムウェアの一部の亜種は、「ファイルが暗号化されています!」ではなく、単純なダイアログボックスを生成すると言われています。言う画面:

'すべてのファイルは暗号化されています
ファイルを復号化するには、次の電子メールを使用してお問い合わせください:[電子メールアドレス]トピック '暗号化ID:[8桁の番号]を設定してください。
証拠として、テストファイルの無料の復号化を提供します。あなたはそれらをあなたの電子メールに添付することができます、そして私たちはあなたに解読されたものを送ります。
復号化の価格は時間の経過とともに上昇し、急いで割引を受けます。
サードパーティを使用した復号化は、詐欺や価格の上昇につながる可能性があります。

影響を受けるデータは、「。ID- [8桁の数字]。[Job2019@tutanota.com] .phobos」または「.ID- [8桁の数字]。[Job2019@tutanota.com] .phobos」の2つの拡張子のいずれかを受け取る可能性があります。 。」たとえば、「Sabaton-Carolus Rex.mp3」は、「Sabaton-CarolusRex.mp3.ID-91651720。[Job2019@tutanota.com] .phobos」および「Sabaton-CarolusRex.mp3.ID-68941751」に名前が変更される場合があります。 [Job2019@tutanota.com] .phobos。 '復号化機能を受け取れない可能性があるため、ランサムウェアアクターとのネゴシエーションは避けることをお勧めします。データバックアップを使用してファイル構造を再構築し、完全なシステムスキャンを実行して、「Job2019@tutanota.com」ランサムウェアによって残された可能性のあるリソースを削除する必要があります。