home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> การแก้ไขปัญหา >> การบำรุงรักษาคอมพิวเตอร์

มัลแวร์โฟบอสคืออะไร

Phobos เป็นมัลแวร์ประเภทแรนซัมแวร์ที่เข้ารหัสไฟล์ของผู้ใช้โดยใช้มาตรฐานการเข้ารหัส AES 256 บิต หลังจากนั้นก็เรียกร้องให้ส่วนของเหยื่อมีค่าไถ่ที่ต้องชำระเป็น Bitcoins

โฟบอสถูกพบครั้งแรกในปี 2019 และมาจากกลุ่มแฮกเกอร์กลุ่มเดียวกันที่รับผิดชอบแรนซัมแวร์ Dharma ส่วนใหญ่จะเผยแพร่ผ่านการเชื่อมต่อเดสก์ท็อประยะไกลที่ถูกแฮ็ก

Phobos เข้ารหัสไฟล์ต่าง ๆ รวมถึงไฟล์ปฏิบัติการ โดยปกติ ไฟล์ที่เข้ารหัสจะมีอีเมลของผู้โจมตีเพิ่มเข้ามาด้วย รูปแบบทั่วไปของการเข้ารหัสคือ:<ชื่อเดิม>.id[<รหัสเหยื่อ>-<รหัสเวอร์ชัน>][<อีเมลของผู้โจมตี>].<ส่วนขยายที่เพิ่ม>.

ไวรัสมัลแวร์โฟบอสทำอะไรได้บ้าง

เช่นเดียวกับธรรมะ Phobos แพร่ระบาดในคอมพิวเตอร์โดยใช้ประโยชน์จากพอร์ต RDP ที่มีความปลอดภัยต่ำเพื่อแทรกซึมเครือข่ายและดำเนินการโจมตีแรนซัมแวร์

หลังจากเข้ารหัสไฟล์ด้วยนามสกุล .phobos แล้ว ransomware จะขอให้จ่ายค่าไถ่เป็น Bitcoins ไปยังที่อยู่เว็บมืดที่แชร์ผ่านเอกสาร readme.txt เหยื่อของมัลแวร์บางคนถูกขอให้จ่ายเงินมากถึง $3,000 เพื่อโอกาสในการกู้คืนไฟล์

ก่อนดำเนินการเข้ารหัส เอนทิตีมัลแวร์จะฆ่ากระบวนการที่อาจบล็อกการเข้าถึงไฟล์ที่เป็นเป้าหมายสำหรับการเข้ารหัส ต่อไปนี้เป็นรายการทั้งหมดของกระบวนการที่ถูกฆ่า:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • sqlwriter.exeoracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • mydesktopqos.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exe
  • agntsvc.exe
  • agntsvc.exe
  • encsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

ภาพต่อไปนี้แสดงส่วนย่อยของโค้ดมัลแวร์ Phobos และวิธีที่โค้ดควบคุมกระบวนการฆ่า:

สาเหตุหนึ่งที่อาชญากรไซเบอร์สามารถบอกได้ว่าเอนทิตีมัลแวร์ Dharma และ Phobos นั้นถูกสร้างขึ้นโดยกลุ่มเดียวกัน แม้ว่าจะมีรหัสต่างกันก็คือความจริงที่ว่าพวกเขาแบ่งปันบันทึกค่าไถ่เดียวกัน แบบอักษรและข้อความเหมือนกัน

วิธีการลบมัลแวร์โฟบอส

วิธีที่ดีที่สุดในการจัดการกับมัลแวร์ Phobos คือการปรับใช้โซลูชันป้องกันมัลแวร์และงดเว้นจากการติดต่ออาชญากรไซเบอร์ เป็นความจริงที่การจ่ายค่าไถ่อาจช่วยให้คุณไม่ต้องเจ็บปวดกับการสูญเสียไฟล์ แต่ก็ไม่ใช่วิธีแก้ปัญหาที่ดี

อาชญากรไซเบอร์ไม่สามารถไว้ใจได้ในการส่งคีย์ถอดรหัส และถึงแม้จะทำได้ แต่ก็ทำให้มีโอกาสมากขึ้นที่พวกเขาจะโจมตีในอนาคตในขณะที่คุณและคนอื่นๆ ที่เลือกจ่ายเงิน สนับสนุนให้พวกเขาทำเช่นนั้น

พบว่าโซลูชันป้องกันมัลแวร์มีประสิทธิภาพในการต่อต้านไวรัสมากขึ้นเมื่อคอมพิวเตอร์อยู่ในเซฟโหมด นี่เป็นเพราะว่า Safe Mode ใช้งานแอพและการตั้งค่า Windows ขั้นต่ำเท่านั้น ดังนั้นจึงใช้ทรัพยากรในการคำนวณมากขึ้นเพื่อไล่ตามเอนทิตีมัลแวร์

เป็นที่ทราบกันว่า Phobos ransomware ใช้กระบวนการต่อเนื่องหลายอย่าง เช่น การติดตั้งตัวเองในโฟลเดอร์ %APPDATA% และ Startup ซึ่งจะเพิ่มคีย์รีจิสทรีสำหรับการเริ่มต้นระบบเพื่อเริ่มต้นอัตโนมัติ ในเซฟโหมด รายการเริ่มอัตโนมัติจะถูกปิดใช้งาน

ซอฟต์แวร์อีกชิ้นหนึ่งที่คุณอาจต้องการเมื่อคุณต่อสู้กับมัลแวร์ Phobos คือเครื่องมือซ่อมแซมพีซี มันจะทั้งทำความสะอาดคอมพิวเตอร์ของคุณและซ่อมแซมรายการรีจิสตรีที่เสีย

วิธีการปกป้องคอมพิวเตอร์ของคุณจากมัลแวร์โฟบอส

ในฐานะที่เป็นส่วนหนึ่งของคู่มือการกำจัดมัลแวร์ Phobos นี้ เราจะแบ่งปันเคล็ดลับสองสามข้อเกี่ยวกับวิธีการหลีกเลี่ยงการติดเชื้อโดย ransomware กับคุณ มัลแวร์เรียกค่าไถ่ของ Phobos มุ่งเป้าไปที่องค์กรที่ใช้การเข้าถึงโปรโตคอลเดสก์ท็อประยะไกล (RDP) ดังนั้น ธุรกิจสามารถตรวจสอบตำแหน่งที่เปิดใช้งาน RDP และปิดการใช้งานหรือตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวนั้นแข็งแกร่งเพียงพอที่การโจมตีด้วยกำลังเดรัจฉานไม่สามารถเกิดขึ้นได้ สำหรับสิ่งนี้ เราขอแนะนำให้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

ในขณะเดียวกัน ธุรกิจต่างๆ จำเป็นต้องเห็นด้วยกับกลยุทธ์ความปลอดภัยทางไซเบอร์ทั่วไปสำหรับทุกคน เพราะวิธีนี้จะช่วยลดความเสี่ยงได้ง่ายขึ้น