Somos compatíveis com navegadores, não com dinossauros. Atualize o navegador se quiser ver o conteúdo desta página web corretamente.

Não sabe qual é a solução de segurança ideal para a sua empresa?

O que é o ransomware Phobos e como removê-lo

O Phobos é um tipo de ransomware que surgiu pela primeira vez em 2018 e continua sendo uma ameaça para os servidores empresariais. Isso ocorre porque ele explora Protocolos de Área de Trabalho Remota (RDP) configurados incorretamente, que são usados por milhões de pessoas em todo o mundo ao se conectar remotamente a suas redes empresariais. Neste guia, você descobrirá o que é o Phobos, como ele funciona e o que fazer para evitar um ataque à sua empresa.

Conheça o Phobos

Phobos, em homenagem ao deus grego do medo, é um tipo de ransomware intimamente relacionado a outros dois tipos de vírus conhecidos, o Crysis e o Dharma, em termos de estrutura e abordagem. O Crysis foi identificado pela primeira vez em 2016 e ficou popular quando seu código-fonte foi publicado online. Após a criação das chaves de descriptografia do Crysis, os criminosos cibernéticos atualizaram o código para criar o Dharma. Da mesma forma, quando ferramentas de descriptografia foram desenvolvidas para solucionar o Dharma, o ransomware evoluiu novamente. A iteração de 2018 é conhecida como Phobos.

Apesar de serem semelhantes em termos de código e populares devido à sua simplicidade, há uma grande diferença entre o Dharma e o Phobos: até o início de 2022, ainda não havia uma ferramenta de descriptografia disponível para o Phobos. Em consequência disso, as pequenas e médias empresas devem ficar particularmente atentas ao impacto que um ataque de ransomware Phobos pode ter na segurança de seus dados.

Um dos motivos pelos quais o Dharma e o Phobos são tão populares entre os hackers é sua abordagem de ransomware como serviço (RaaS), que requer habilidades técnicas mínimas para iniciar um ataque. Ambos foram projetados para atingir os sistemas Windows, pois exploram o protocolo de comunicação RDP da Microsoft.

Vetores de ataque do ransomware Phobos

Os hackers usam o ransomware Phobos para atingir áreas de trabalho remotas com senhas fracas por meio de dois vetores de ataque principais:

  • Conduzir campanhas de phishing para roubar informações e senhas de contas ou induzir o indivíduo a abrir um anexo malicioso.
  • Obter acesso direto usando o Protocolo de Área de Trabalho Remota (RDP). A porta específica visada pelo ransomware é a 3389. Botnets podem ser usados para verificar sistemas que tenham essa porta aberta, oferecendo uma oportunidade para o agente proibido adivinhar as informações de login usando, por exemplo, um ataque de força bruta.

O que o Phobos faz?

Depois de garantir o acesso a um sistema, o ransomware normalmente não tenta contornar o Controle de Conta de Usuário do Windows (UAC). O agente da ameaça copiará o arquivo executável e o iniciará usando privilégios de acesso. Como esse processo é bastante simples, o Phobos se tornou popular entre os criminosos cibernéticos, pois permite que indivíduos com pouca habilidade conduzam um ataque impactante.

O ransomware se instalará em locais-chave, como na pasta de inicialização do Windows e na pasta %APPDATA%, e criará chaves de registro para que possa ser retomado mesmo após uma reinicialização do sistema.

O Phobos iniciará uma verificação contínua, visando arquivos de usuários locais e compartilhamentos de rede e monitorando novos arquivos que atendam aos requisitos de criptografia. Normalmente, inclui arquivos gerados pelo usuário, como documentos, pastas comumente usadas e mídias.

O malware também realizará algumas medidas de proteção, incluindo:

  • Excluir backups de cópia de sombra dos arquivos;
  • Bloquear o modo de recuperação;
  • Desabilitar medidas de segurança, incluindo firewalls.

Essas tentativas de encobrir seus rastros são semelhantes à abordagem adotada pelo ransomware Sodinokibi.

Criptografia do Phobos

O Phobos usa Advanced Encryption Standard AES-256, juntamente com outro algoritmo popular, o RSA-1024. Os dados em si são criptografados com AES, enquanto que a chave privada usada para descriptografia é criptografada com RSA. AES e RSA são amplamente usados para transmissão segura de dados, tanto para fins legítimos quanto maliciosos.

Os arquivos são renomeados com uma extensão que contém:

  • Um número de ID, que também é a nota de resgate. Esse número tem duas partes e pode conter letras e números.
  • Um endereço de e-mail, que também aparece na nota, e é por meio dele que as vítimas são instruídas a solicitar seus arquivos.
  • Uma extensão, que é uma palavra aparentemente aleatória usada para diferenciar a pessoa ou o grupo responsável pelo ataque.

A estrutura da extensão é a seguinte:

.ID[endereço de e-mail 1].[extensão adicionada]

Por exemplo, um arquivo originalmente denominado Photo.jpg pode ser renomeado para algo como:

Photo.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow

Infelizmente, não há nenhum descriptografador disponível para o Phobos além das chaves mantidas pelos criminosos cibernéticos que criaram o ransomware. Isso destaca a importância de fazer backups regulares do sistema e armazená-los em um local seguro – já que essa pode ser a única maneira de recuperar seus dados empresariais – e usar software de segurança cibernética para verificar e remover arquivos maliciosos.

O que fazer caso seu computador sofra um ataque de ransonware

Você pode fazer o possível para evitar ataques de ransomware, mas se descobrir que seu dispositivo ou rede foi infectada, há uma série de medidas que você deve tomar para proteger sua empresa.

Isolar o dispositivo da rede

A primeira etapa para minimizar o dano e impedir que o vírus se espalhe ainda mais. O dispositivo infectado deve ser desconectado imediatamente da Internet e removido da rede. Todos os dispositivos conectados devem ser verificados quanto a software malicioso.

Lembre-se de que receber uma mensagem de resgate não é o fim de um ataque de Phobos. O ransomware continuará a verificar alterações no dispositivo e infectará novos arquivos, mesmo sem uma conexão com a Internet.

Usar ferramentas de segurança para remover o software malicioso

Dependendo do tipo de ransomware, há vários métodos de remoção. Em alguns casos, o ransomware excluirá a si mesmo para dificultar ainda mais a identificação do tipo de ataque e a localização da chave de descriptografia, se houver uma disponível. Em outros casos, o arquivo permanecerá no dispositivo e será necessário usar uma ferramenta de remoção para limpar o sistema.

As soluções de segurança cibernética da Avast podem identificar e remover vários tipos diferentes de ransomware, mantendo seus dispositivos protegidos contra ataques no futuro.

Restaurar os dados de um backup

Se você mantém backups regulares, poderá recuperar com segurança seus dados empresariais assim que o ransomware for removido.

Sem um backup e uma chave de descriptografia disponíveis, não há solução de recuperação para um ataque de Phobos. Nesse caso, somente é possível fazer backup dos arquivos que você ainda pode acessar até que uma chave se torne disponível publicamente.

Não é recomendado pagar o resgate. Os pagamentos não apenas incentivam novos ataques, como também não há garantia de que o criminoso cibernético devolverá seus arquivos.

Comunicar o ataque à polícia

Crimes cibernéticos devem ser comunicados à polícia para que tendências de ataques possam ser registradas. Nos EUA, os incidentes de ransomware devem ser comunicados à Cyberstructure & Infrastructure Security Agency (CISA) por meio da ferramenta de denúncias. No RU, os crimes cibernéticos devem ser comunicados à Action Fraud.

Proteja-se contra o Phobos com as soluções de segurança cibernética da Avast para pequenas empresas

Como a criptografia do Phobos ainda não pode ser decifrada, a segurança da sua empresa e de seus dados depende da realização de backups regulares e da prevenção contra ransomware nos seus dispositivos.

As soluções de segurança cibernética da Avast podem ajudar os usuários a se protegerem conta o Phobos, o WannaCry e muitos outros tipos de malware. Escolha o nível de proteção adequado às suas necessidades específicas e mantenha seus dispositivos e rede protegidos conta ataques cibernéticos.

Fechar

Falta pouco!

Conclua a instalação clicando no arquivo baixado e seguindo as instruções na tela.

Inicializando download...
Atenção: se o download não se iniciar automaticamente, clique aqui.
Clique neste arquivo para começar a instalação do Avast.