باج افزار Phobos: معرفی، آنالیز و بررسی ابزار رمزگشا

تاریخ انتشار مطلب: 2021/03/16
باج افزار Phobos برای اولین بار در دسامبر 2018 شناسایی شده است و برخلاف سایر باج افزارهای مشهور، اغلب کسب و کارهای کوچک و کاربران خانگی را مورد هدف قرار می دهد.
باج افزار Phobos

این روزها باج افزارها به شکل فزاینده ای در حال گسترش و آلوده کردن اطلاعات کاربران خانگی و کسب و کارهای مختلف هستند. با اینکه برخی از انواع باج افزارها کاملا منحصر بفرد و خلاقانه طراحی شده اند، اما بیشتر آن ها ساختاری بسیار شبیه به یکدیگر دارند. Phobos نیز با اینکه ساختار خاص و منحصر بفردی ندارد، بسیار همه گیر شده و اطلاعات کاربران بسیاری را رمزنگاری کرده است.

در ادامه این مطلب همراه ما باشید تا با باج افزار Phobos، راه های گسترش آن و اینکه چگونه می توانید از اطلاعات خود در برابر آن محافظت کنید، بیشتر آشنا شوید.

باج افزار Phobos چیست؟

Phobos برای اولین بار در دسامبر 2018 شناسایی شده است و برخلاف سایر باج افزارهای مشهور، اغلب کسب و کارهای کوچک و کاربران خانگی را مورد هدف قرار می دهد. متوسط باج درخواستی از یک حمله موفق Phobos را 18 هزار دلار تخمین زده اند. با توجه به ساختار این باج افزار، می توان گفت Phobos بسیار شبیه به خانواده باج افزاری Dharma است. کارشناسان نسخه اول آن را از نظر ساختاری بسیار مشابه با Dharma می دانند. همچنین به نظر می رسد هر دو باج افزار Phobos و Dharma از خانواده بزرگتری به نام Crysis الهام گرفته شده اند.

  • یادداشت باج افزار (Ransom Note)

اولین شباهت بین این دو نوع باج افزار یادداشت آن هاست. Phobos در واقع همان فایل HTA باج افزار Dharma را بر روی کامپیوتر قربانی قرار می دهد. همانطور که در تصویر مشاهده می کنید، تنها تفاوت در نام آن ها در بالا و پایین فایل HTA است:

یادداشت باج افزار phobos

فایل های HTA از طریق یک سند HTML قابل اجرا هستند. این فایل ها توسط Microsoft HTML Application Host قابل خواندن بوده و بدین معناست که اگر با ویندوز کار می کنید، می توانید آن را به راحتی در مرورگرهای Internet Explorer یا Edge اجرا و مشاهده کنید.

  • رمزنگاری باج افزار (Encryption)

Phobos از طریق الگوریتم رمزنگاری AES-256 و توسط RSA-1024 (رمزگذاری نامتقارن)، فایل های قربانیان را رمزنگاری می کند. بنابراین لازم به ذکر است که هر دو باج افزار Phobos و Dharma از الگوریتم RSA یکسان استفاده می کنند. با این حال، یک تفاوت قابل توجه این است که Phobos این فرآیند را از طریق Windows Crypto API پیاده سازی می کند، در حالی که Dharma از یک کتابخانه شخص ثالث استفاده می کند.

نام فایل های رمزگذاری شده هم در هر دو حالت از یک فرمت مشابه به شکل پایین تبعیت می کند:

  • نام اصلی فایل
  • یک ID منحصر بفرد
  • آدرس ایمیل برای ارتباط
  • پسوند Phobos

بنابراین فایل های آلوده شده به فرمت زیر تبدیل می شوند:

(filename).(ID) (email address).(added extension)

با این که پسوند Phobos شایع ترین پسوند موجود برای این باج افزار است، اما پسوند های دیگری نیز برای این خانواده شناسایی شده است. بر اساس گزارشات موسسات تحلیل بدافزار، تا کنون بیش از 50 پسوند مختلف برای باج افزار نوع Phobos شناسایی شده است که به شرح زیر می باشد:

  • 1500dollars, actin, Acton, actor, Acuff
  • Acuna, acute, adage, Adair, Adame, banhu
  • banjo, Banks, Banta, Barak, bbc, blend
  • BORISHORSE, bqux, Caleb, Cales, Caley
  • calix, Calle, Calum, Calvo, CAPITAL, com
  • DDoS, deal, deuce, Dever, devil, Devoe
  • Devon, Devos, dewar, Eight, eject, eking
  • Elbie, elbow, elder, Frendi, help, KARLOS
  • karma, mamba, phoenix, PLUT, WALLET, zax

راه های انتشار و گسترش باج افزار Phobos

Phobos معمولا از طریق یکی از روش های زیر در شبکه گسترش می یابد:

  1. اتصالات محافظت نشده ریموت دسکتاپ (RDP)
  2. حملات brute-force و لو رفتن اطلاعات احراز هویت ریموت دسکتاپ (RDP)
  3. اکسپلویت و کشف آسیب پذیری های سیستم عامل و نرم افزارهای شخص ثالث
  4. حملات فیشینگ

Phobos پس از نفوذ به سیستم، فایل ها (با اندازه استاندارد) را به طور کامل رمزنگاری می کند. اما الگوریتم آن برای فایل های بزرگ متفاوت است و تنها بخش هایی از آن ها را رمزنگاری می کند. به این ترتیب می تواند در زمان صرفه جویی کرده و با رمزگذاری اطلاعات بیشتر، میزان خسارت را به حداکثر برساند.

فرمت های مورد علاقه Phobos شامل پسوند های معروفی چون: avi ،backup ،doc ،docx ،html ،jpg ،jpeg ،mkv ،mp3 ،mp4 ،pdf ،rar و zip هستند و فایل های سیستمی با پسوندهای boot.ini ،bootfont.bin ،io.sys ،ntldr را معمولا رمزنگاری نمی کند.

علاوه بر رمزنگاری فایل ها، Phobos فرآیندهای فعال سیستم عامل را متوقف کرده و ردپای خود را در فایل ها پاک می کند. همچنین فایل های بکاپ و shadow copy ها را مشابه با باج افزار Sodinokibi به طور کامل از بین می برد. در آخر نیز با غیرفعال ساختن حالت ریکاوری و فایروال سیستم، اجازه نمی دهد که کاربر مانع آلودگی و رمزنگاری اطلاعاتش شود.

رمزگشایی باج افزار Phobos

در حال حاضر خانواده های باج افزاری Dharma و Crysis توسط ابزار رمزگشای Rakhni decryptor که توسط آزمایشگاه کسپرسکی توسعه داده شده، قابل رمزگشایی است. متأسفانه تا به حال هیچ ابزار رمزگشایی برای باج افزار Phobos تولید نشده است. با  اینحال ممکن است در آینده راه حلی برای این خانواده نیز یافت شود، در نتیجه توصیه می کنیم حتما یک نسخه از اطلاعات با اهمیت خود را در یک حافظه جانبی نگهداری کنید.

در حال حاضر، تنها راه رمزگشایی اطلاعات آلوده شده با Phobos پرداخت باج است که به هیچ عنوان توصیه نمی شود. طبق بررسی های انجام شده توسط موسسه Coverware، درصد موفقیت در بازیابی اطلاعات پس از پرداخت باج حدود 85٪ است. این بدین معناست که حتی پس از پرداخت باج، ممکن است ابزار رمزگشایی از سمت مجرمان دریافت نکنید و یا اینکه ابزار به درستی عمل نکند و فایل های شما بازگردانی نشوند. بنابراین  هیچ تضمینی وجود ندارد که اطلاعات خود را بازیابی کنید. علاوه بر این با این کار مجرمان سایبری را تشویق می کنید تا با قدرت بیشتری کار خود را ادامه دهند. به جای پرداخت باج، بودجه و تلاش خود را بر روی پیشگیری و امن سازی شبکه و اطلاعات متمرکز کنید.

روز خوب و بدون باج افزاری داشته باشید!

برگرفته از:

Phobos Ransomware: Everything You Need to Know

مطالب بیشتری بخوانید.

آیا واقعا نیازی به خرید آنتی ویروس و یا VPN هست؟

آیا واقعا نیازی به خرید آنتی ویروس و یا VPN هست؟

چرا برای خرید آنتی ویروس و حفاظت از اطلاعات دیجیتال و کامپیوتر خود باید هزینه کنید؟ آیا این هدر دادن پول است؟ به طور کلی می توان گفت که پاسخ منفی است و این هزینه کاملا ضروری و منطقی به نظر می رسد. بسته به سیستم عاملی که از آن استفاده می کنید، داشتن یک آنتی ویروس شخص ثالث (مستقل از آنتی ویروس های پیش فرض سیستم عامل)، ایده خوبی است و حتی در برخی موارد یک ضرورت به حساب می آید.

بروزرسانی خودکار سیستم عامل و نرم افزارها با ابزارهای بروزرسانی خودکار

بروزرسانی خودکار سیستم عامل و نرم افزارها با ابزارهای بروزرسانی خودکار

بطور کلی کامپیوترهایی که بروزرسانی خودکار آن ها فعال است و بصورت پیوسته بروز می شوند، در برابر حملات سایبری و بدافزارها، بسیار ایمن تر از سیستم های بروز نشده و قدیمی هستند. ابزارهای بسیار کارآمدی برای طیف مختلف کاربران وجود دارد که می توانند سیستم عامل ها و برنامه ها را بصورت خودکار بروز نگه داشته و امنیت لازم را فراهم کنند.

باج افزار چیست؟

باج افزار چیست؟

باج افزار (ransomware) نوعی بدافزار است که با رمزگذاری اطلاعات، از دسترسی کاربران به فایل های شخصی جلوگیری می کند و برای رمزگشایی اطلاعات و دسترسی مجدد به سیستم، از کاربران باج گیری می کند. امروزه اغلب باج افزارها از طریق رمز ارزها و یا کارت اعتباری پرداخت می شوند و مهاجمان همه انواع کاربران از جمله کاربران خانگی، شرکت های کوچک و متوسط و حتی سازمان ها بسیار بزرگ را مورد هدف قرار می دهند.

نظرات

بدون نظر

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد.