باج افزار Phobos: معرفی، آنالیز و بررسی ابزار رمزگشا

تاریخ انتشار مطلب: 2021/03/16
باج افزار Phobos برای اولین بار در دسامبر 2018 شناسایی شده است و برخلاف سایر باج افزارهای مشهور، اغلب کسب و کارهای کوچک و کاربران خانگی را مورد هدف قرار می دهد.
باج افزار Phobos

این روزها باج افزارها به شکل فزاینده ای در حال گسترش و آلوده کردن اطلاعات کاربران خانگی و کسب و کارهای مختلف هستند. با اینکه برخی از انواع باج افزارها کاملا منحصر بفرد و خلاقانه طراحی شده اند، اما بیشتر آن ها ساختاری بسیار شبیه به یکدیگر دارند. Phobos نیز با اینکه ساختار خاص و منحصر بفردی ندارد، بسیار همه گیر شده و اطلاعات کاربران بسیاری را رمزنگاری کرده است.

در ادامه این مطلب همراه ما باشید تا با باج افزار Phobos، راه های گسترش آن و اینکه چگونه می توانید از اطلاعات خود در برابر آن محافظت کنید، بیشتر آشنا شوید.

باج افزار Phobos چیست؟

Phobos برای اولین بار در دسامبر 2018 شناسایی شده است و برخلاف سایر باج افزارهای مشهور، اغلب کسب و کارهای کوچک و کاربران خانگی را مورد هدف قرار می دهد. متوسط باج درخواستی از یک حمله موفق Phobos را 18 هزار دلار تخمین زده اند. با توجه به ساختار این باج افزار، می توان گفت Phobos بسیار شبیه به خانواده باج افزاری Dharma است. کارشناسان نسخه اول آن را از نظر ساختاری بسیار مشابه با Dharma می دانند. همچنین به نظر می رسد هر دو باج افزار Phobos و Dharma از خانواده بزرگتری به نام Crysis الهام گرفته شده اند.

  • یادداشت باج افزار (Ransom Note)

اولین شباهت بین این دو نوع باج افزار یادداشت آن هاست. Phobos در واقع همان فایل HTA باج افزار Dharma را بر روی کامپیوتر قربانی قرار می دهد. همانطور که در تصویر مشاهده می کنید، تنها تفاوت در نام آن ها در بالا و پایین فایل HTA است:

یادداشت باج افزار phobos

یادداشت باج افزار phobos

فایل های HTA از طریق یک سند HTML قابل اجرا هستند. این فایل ها توسط Microsoft HTML Application Host قابل خواندن بوده و بدین معناست که اگر با ویندوز کار می کنید، می توانید آن را به راحتی در مرورگرهای Internet Explorer یا Edge اجرا و مشاهده کنید.

  • رمزنگاری باج افزار (Encryption)

Phobos از طریق الگوریتم رمزنگاری AES-256 و توسط RSA-1024 (رمزگذاری نامتقارن)، فایل های قربانیان را رمزنگاری می کند. بنابراین لازم به ذکر است که هر دو باج افزار Phobos و Dharma از الگوریتم RSA یکسان استفاده می کنند. با این حال، یک تفاوت قابل توجه این است که Phobos این فرآیند را از طریق Windows Crypto API پیاده سازی می کند، در حالی که Dharma از یک کتابخانه شخص ثالث استفاده می کند.

نام فایل های رمزگذاری شده هم در هر دو حالت از یک فرمت مشابه به شکل پایین تبعیت می کند:

  • نام اصلی فایل
  • یک ID منحصر بفرد
  • آدرس ایمیل برای ارتباط
  • پسوند Phobos

بنابراین فایل های آلوده شده به فرمت زیر تبدیل می شوند:

(filename).(ID) (email address).(added extension)

با این که پسوند Phobos شایع ترین پسوند موجود برای این باج افزار است، اما پسوند های دیگری نیز برای این خانواده شناسایی شده است. بر اساس گزارشات موسسات تحلیل بدافزار، تا کنون بیش از 50 پسوند مختلف برای باج افزار نوع Phobos شناسایی شده است که به شرح زیر می باشد:

  • 1500dollars, actin, Acton, actor, Acuff
  • Acuna, acute, adage, Adair, Adame, banhu
  • banjo, Banks, Banta, Barak, bbc, blend
  • BORISHORSE, bqux, Caleb, Cales, Caley
  • calix, Calle, Calum, Calvo, CAPITAL, com
  • DDoS, deal, deuce, Dever, devil, Devoe
  • Devon, Devos, dewar, Eight, eject, eking
  • Elbie, elbow, elder, Frendi, help, KARLOS
  • karma, mamba, phoenix, PLUT, WALLET, zax

راه های انتشار و گسترش باج افزار Phobos

Phobos معمولا از طریق یکی از روش های زیر در شبکه گسترش می یابد:

  1. اتصالات محافظت نشده ریموت دسکتاپ (RDP)
  2. حملات brute-force و لو رفتن اطلاعات احراز هویت ریموت دسکتاپ (RDP)
  3. اکسپلویت و کشف آسیب پذیری های سیستم عامل و نرم افزارهای شخص ثالث
  4. حملات فیشینگ

Phobos پس از نفوذ به سیستم، فایل ها (با اندازه استاندارد) را به طور کامل رمزنگاری می کند. اما الگوریتم آن برای فایل های بزرگ متفاوت است و تنها بخش هایی از آن ها را رمزنگاری می کند. به این ترتیب می تواند در زمان صرفه جویی کرده و با رمزگذاری اطلاعات بیشتر، میزان خسارت را به حداکثر برساند.

فرمت های مورد علاقه Phobos شامل پسوند های معروفی چون: avi ،backup ،doc ،docx ،html ،jpg ،jpeg ،mkv ،mp3 ،mp4 ،pdf ،rar و zip هستند و فایل های سیستمی با پسوندهای boot.ini ،bootfont.bin ،io.sys ،ntldr را معمولا رمزنگاری نمی کند.

علاوه بر رمزنگاری فایل ها، Phobos فرآیندهای فعال سیستم عامل را متوقف کرده و ردپای خود را در فایل ها پاک می کند. همچنین فایل های بکاپ و shadow copy ها را مشابه با باج افزار Sodinokibi به طور کامل از بین می برد. در آخر نیز با غیرفعال ساختن حالت ریکاوری و فایروال سیستم، اجازه نمی دهد که کاربر مانع آلودگی و رمزنگاری اطلاعاتش شود.

رمزگشایی باج افزار Phobos

در حال حاضر خانواده های باج افزاری Dharma و Crysis توسط ابزار رمزگشای Rakhni decryptor که توسط آزمایشگاه کسپرسکی توسعه داده شده، قابل رمزگشایی است. متأسفانه تا به حال هیچ ابزار رمزگشایی برای باج افزار Phobos تولید نشده است. با  اینحال ممکن است در آینده راه حلی برای این خانواده نیز یافت شود، در نتیجه توصیه می کنیم حتما یک نسخه از اطلاعات با اهمیت خود را در یک حافظه جانبی نگهداری کنید.

در حال حاضر، تنها راه رمزگشایی اطلاعات آلوده شده با Phobos پرداخت باج است که به هیچ عنوان توصیه نمی شود. طبق بررسی های انجام شده توسط موسسه Coverware، درصد موفقیت در بازیابی اطلاعات پس از پرداخت باج حدود 85٪ است. این بدین معناست که حتی پس از پرداخت باج، ممکن است ابزار رمزگشایی از سمت مجرمان دریافت نکنید و یا اینکه ابزار به درستی عمل نکند و فایل های شما بازگردانی نشوند. بنابراین  هیچ تضمینی وجود ندارد که اطلاعات خود را بازیابی کنید. علاوه بر این با این کار مجرمان سایبری را تشویق می کنید تا با قدرت بیشتری کار خود را ادامه دهند. به جای پرداخت باج، بودجه و تلاش خود را بر روی پیشگیری و امن سازی شبکه و اطلاعات متمرکز کنید.

روز خوب و بدون باج افزاری داشته باشید!

برگرفته از:

Phobos Ransomware: Everything You Need to Know

مطالب بیشتری بخوانید.

تروجان چیست و چگونه کار می کند؟

تروجان چیست و چگونه کار می کند؟

اسب تروا یا تروجان نوعی بدافزار است که غالباً تحت عنوان یک نرم افزار قانونی درون سیستم عامل مخفی می شود. تروجان ها توسط مجرمان سایبری و هکرهایی که سعی می کنند به سیستم کاربران نفوذ کنند، به کار گرفته شوند. کاربران معمولاً توسط تکنیک های مهندسی اجتماعی و فیشینگ، فریب داده می شوند تا تروجان ها را در سیستم های خود دانلود و اجرا کنند.

نسخه 2021.9 آنتی ویروس امسی سافت: نسخه ویندوز 11 آماده است، تغییرات در نوتیفیکیشن های ایمیل

نسخه 2021.9 آنتی ویروس امسی سافت: نسخه ویندوز 11 آماده است، تغییرات در نوتیفیکیشن های ایمیل

نسخه اصلی ویندوز 11 شرکت مایکروسافت به زودی منتشر می شود. تیم تضمین کیفیت ما، نسخه 2021.9 آنتی ویروس امسی سافت را بر روی آخرین نسخه پیش نمایش ویندوز 11 آزمایش کرده است و می تواند تأیید کند که همه محصولات امسی سافت مطابق انتظار کار می کنند.

چگونه از حملات DDoS جلوگیری کنیم؟

چگونه از حملات DDoS جلوگیری کنیم؟

از میان همه‌ تهدیدات سایبری، فقط برخی از آن‌ ها به اندازه‌ حملات DDoS اخلال‌گر هستند و مقابله با آن‌ها دشوار است. در این حملات، رگباری از درخواست‌ها سرور را هدف قرار می‌دهد تا سرویس از دسترس خارج شود. اگر یک حمله DDoS به درستی اجرا شود به سرعت می‌تواند یک وبسایت را از کار بیاندازد و آن را به سلاحی برای افراد مختلف با انگیزه‌های سیاسی، تجاری یا شخصی تبدیل کند.

نظرات

بدون نظر

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد.