Hva er Phobos?
Phobos er oppkalt etter den greske guden for frykt og er en type løsepengevirus som er nært knyttet til Crysis og Dharma, som er to andre kjente virus med lignende struktur og tilnærming. Crysis ble oppdaget i 2016 og ble populært da kildekoden ble publisert på internett. Etter at dekrypteringsnøkler for Crysis ble laget, oppdaterte nettkriminelle koden for å utvikle Dharma. Dharma ble igjen videreutviklet da dekrypteringsverktøy ble utviklet for å stoppe løsepengeviruset. 2018-utgaven av det er nå kjent som Phobos.
Selv om Dharma og Phobos har svært lik kode og begge er populære på grunn av enkelheten, er det en vktig forskjell: det finnes ikke dekrypteringsverktøy for Phobos (per våren 2022). Det betyr at små og mellomstore bedrifter må være spesielt oppmerksomme på faren for datasikkerheten ved angrep med Phobos-løsepengevirus.
En av grunnene til at Dharma og Phobos er populære blant hackere er tilnærmingen med løsepengevirus som en tjeneste, som krever få tekniske ferdigheter for å kunne utføre angrep. Begge er beregnet på Windows-systemer, siden de utnytter sikkerhetshull i Microsofts RDP-kommunikasjonsprotokoll.
Phobos-angrepsmetoder
Hackere bruker Phobos-løsepengevirus til å angripe eksterne skrivebord med svake passord, ved hjelp av hovedsakelig to angrepsmetoder:
- Phishing-kampanjer utføres for å stjele kontoopplysninger og passord eller for å lure mottakeren til å åpne et skadelig e-postvedlegg.
- Angriperen får direkte tilgang ved hjelp av Remote Desktop Protocol (RDP). Løsepengeviruset bruker porten 3389 til å prøve å få tilgang. Botnett kan brukes til å skanne etter systemer som har latt denne porten stå åpen og dermed gir potensielle angripere muligheten til å gjette påloggingsopplysninger ved hjelp av for eksempel angrep med rå kraft.
Hva gjør Phobos?
Når løsepengeviruset har fått tilgang til et system, prøver det som regel ikke å omgå brukerkontrollen i Windows (UAC). Angriperen kopierer den utførbare filen og kjører den med tilgangsrettigheter. Siden denne prosessen er så enkel, har Phobos blitt populær blant nettkriminelle fordi selv de med få ferdigheter kan utføre skadelige angrep.
Løsepengeviruset installerer seg selv på viktige plasseringer som oppstartsmappen og %APPDATA%-mappen i Windows, og det oppretter registernøkler slik at det kan gjenoppta kjøringenn selv om datamaskinen startes på nytt.
Phobos setter deretter i gang en kontinuerlig skanning av lokale brukerfiler og nettverksressurser, og det overvåker systemet for å fange opp nye filer som kan krypteres. Dette omfatter vanligvis brukeropprettede filer i dokumentmapper og andre brukermapper med for eksempel mediefiler.
Den skadelige programvaren gjør også beskyttende tiltak:
- sletting av skyggekopier av filer
- blokkering av gjenopprettingsmodus
- deaktivering av sikkerhetstiltak, inkludert brannmur
Slike forsøk på å skjule spor ligner på tilnærmingen som brukes av Sodinokibi-løsepengeviruset.
Phobos-kryptering
Phobos bruker AES-256 og en annen populær algoritme, RSA-1024. Selve dataene er kryptert med AES, mens den private nøkkelen til dekryptering er kryptert med RSA. Både AES og RSA er svært utbredt innen sikker dataoverføring både til legitime og skadelige formål.
Filene gis nytt navn med en filtype som inneholder:
- et ID-nummer som også finnes i notatet med løsepengekravet og består av to deler med både bokstaver og tall
- en e-postadresse som også finnes i notatet med løsepengekravet og som kan brukes til å be om å få tilbake filene
- et kodeord som er et tilsynelatende tilfeldig ord som brukes som en kode for personen eller gruppen som står bak angrepet
Filtypen har dette formatet:
.ID[e-postadresse 1].[kodeord]
For eksempel kan en fil med opprinnelig navn Bilde.jpg få et nytt navn som dette:
Bilde.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow
Dessverre finnes det ikke dekrypteringsverktøy for Phobos annet enn de nøklene som de nettkriminelle som laget løsepengeviruset selv har. Dette understreker viktigheten av å utføre regelmessig sikkerhetskopiering og lagre sikkerhetskopiene på en sikker plassering, for det kan være eneste måte å gjenopprette bedriftens data. Like viktig er bruk av datasikkerhetsprogramvare som skanner etter og fjerner skadelige filer.
Tiltak hvis datamaskinen har blitt hacket med løsepengevirus
Du har kanskje gjort alt du kan for å forebygge løsepengevirus, men hvis enheter eller nettverk likevel har blitt infisert et det noen tiltak som bør gjøres for å beskytte bedriften.
Isoler enheten fra nettverket
Første trinn er å redusere skadeomfanget og hindre viruset i å spre seg videre. Den infiserte enheten bør øyeblikkelig kobles fra internett og fjernes fra nettverket. Alle tilkoblede enheter bør skannes etter skadelig programvare.
Vær oppmerksom på at mottak av et løsepengekrav ikke er slutten på et Phobos-angrep. Løsepengeviruset fortsetter å skanne etter endringer på enheten og kan infisere nye filer selv om det ikke har internettforbindelse.
Bruk sikkerhetsverktøy til å fjerne den skadelige programvaren
Det finnes flere fjernemetoder avhengig av typen løsepengevirus. I noen tilfeller sletter løsepengeviruset seg selv for å gjøre det vanskeligere å identifisere angrepstypen og finne dekrypteringsverktøy. Ellers blir filen liggende, og det kreves et verktøy for å fjerne den og rydde opp på systemet.
Avasts datasikkerhetsløsninger for små bedrifter finner og fjerner mange ulike typer løsepengevirus og beskytter enhetene mot fremtidige angrep.
Gjenopprett data fra en sikkerhetskopi
Hvis du har lagret regelmessige sikkerhetskopier bør du kunne gjenopprette bedriftens data på en sikker måte etter at løsepengeviruset er fjernet.
Hvis du ikke har sikkerhetskopi, og så lenge det ikke finnes en dekrypteringsnøkkel, finnes det ingen gjenopprettingsløsninger for Phobos-angrep. I en slik situasjon kan du ikke gjøre annet enn å sikkerhetskopiere filer du har tilgang til og oppbevare dem til en nøkkel blir offentliggjort.
Vi anbefaler ikke å betale løsepenger. Betaling vil bare oppmuntre til ytterligere angrep, og det er uansett ingen garanti for at de nettkriminelle vil gi deg tilgang til filene igjen.
Rapporter angrepet til myndighetene
Nettkriminalitet bør rapporteres til myndighetene slik at angrepstrender kan registreres. I USA skal løsepengevirus rapporteres til Cyberstructure & Infrastructure Security Agency (CISA) via rapporteringsverktøyet. I Storbritanna skal nettkriminalitet rapporteres til Action Fraud.