مقدمه

باج افزار Phobos که برای اولین بار در دسامبر 2018 شناسایی شد، یکی دیگر از تهدیدهای سایبری است که عمدتا سازمان ها را هدف قرار می دهد. با این حال، بر خلاف سایر گروه‌ های جرایم سایبری که بازی ‌های بزرگ را مورد هدف قرار می دهند، بازیگران مخرب پشت Phobos معمولاً شرکت های کوچکتر با امکانات کمتری را برای گرفتن باج ‌های هنگفت، مورد هدف قرار می دهند. بنابراین، میانگین تقاضای باج از یک حمله به طور متوسط 18،755 دلار است. باج افزار Phobos تا آنجا که به ساختار ژنتیکی آن مربوط می شود، بسیار شبیه به نوع بدنام Dharma است. کارشناسان این دو نسخه را بسیار مشابه یکدیگر می دانند. به گفته Coverware ، هر دو Phobos و Dharma از خانواده بزرگتر باج افزار CrySis الهام گرفته اند.

یادداشت باج Phobos

یکی از شباهت ‌های دو باج افزارphobos و dharma، یادداشت باج است. باج افزار Phobos اساساً همان فایل HTA را بر روی رایانه های آلوده مانند Dharma به وجود می ‌آورد، تنها تفاوت در مارک تجاری آن در بالا و پایین فایل HTA است.
باج افزار Phobos در بالای فایل HTA، یک یادداشت باج افزاری را که به طور قابل توجهی کوتاه تر از نمونه های مشابه دیگر باج افزار ها است، به جای میگذارد. این یادداشت به شکل زیر است:
!!! همه فایل های شما رمزگذاری شده اند !!! برای رمزگشایی آنها، به این آدرس ایمیل گزارش دهید: [آدرس ایمیل 1] در صورت عدم دریافت پاسخ از طرف ما، می توانید سرویس گیرنده Jabber را نصب کرده و برای حمایت از [آدرس ایمیل 2] پیامی ارسال کنید.
اگر دو جمله‌ ی بالا را با یکدیگر مقایسه کنید، متوجه می شوید که جمله‌ی دوم شامل اطلاعات مربوطه مانند شناسه تولید نیست. همچنین دلیل و توضیح مشخصی برای تقاضای ایمیل از طرف کاربر ندارد.این بدان معناست که اگر کاربر متوجه این موضوع نشود و از فناوری اطلاعات کافی نداشته باشد و تنها فایل TXT را تشخیص دهد، به راحتی قربانی رسیدن آن‌ ها به اهدافشان می شود. مشخص است که مانور دادن روی فایل‌ های TXT اصلا کار دشواری نیست. یک فایل HTA قابل اجرا است و می تواند از یک سند HTML اجرا شود و شامل کد های متنی بزرگ، و همچنین کد VBScript یا Jscript است که توسط میزبان برنامه Microsoft HTML قابل خواندن است. این بدان معناست که اگر دستگاه شما در ویندوز کار می کند، می توانید به راحتی با دابل کلیک کردن آن را در مرورگرهای Internet Explorer یا Edge مایکروسافت باز کنید.

رمزگذاری باج افزار Phobos

باج افزار Phobos فایل های دستگاه آلوده را از طریق AES-256 با رمزگذاری نامتقارن RSA-1024 رمزگذاری می کند. بنابراین، شایان ذکر است که هر دو فوبوس و دارما، از الگوریتم RSA یکسانی استفاده می کنند. با این حال، یک تفاوت قابل توجه این است که اپراتورهای Phobos آن را از Windows Crypto API پیاده سازی می کنند، در حالی که گروه Dharma آن را از یک کتابخانه استاتیک شخص ثالث اجرا می کند. علاوه بر این، نام فایل های رمزگذاری شده در هر دو مورد از طریق فرایند مشابهی مانند زیر ایجاد می شود:

  • نام فایل اصلی
  • یک شماره ID منحصر به فرد
  • ایمیل اپراتور باج افزار
  • و پسوند .phobos

بنابراین، اگر داده های شما توسط آن خراب شده باشد نام فایل های شما به شرح زیر است:
[نام فایل]. [ID] [آدرس ایمیل 1]. [پسوند اضافه شده]

معمولا پسوند .Phobos منطقی ترین و شایع ترین علامت بروز آن است و برای اینکه بفهمید دستگاه شما به آن آلوده شده است باید به دنبال آن باشید. اما باید توجه داشته باشید که ممکن است همیشه در صورت بروز Phobos، این علامت آشکار نگردد. در مقاله ای که برای وبلاگ MalwareBytes Labs نوشته شده، Jovi Umawing ، تحلیلگر اطلاعات بدافزار، بیش از 50 پسوند فایل دیگر را که توسط اپراتورهای باج افزار مورد استفاده قرار می گیرند، شناسایی کرد که به شرح زیر بود:

  • 1500dollars, actin, Acton, actor, Acuff,
  • Acuna, acute, adage, Adair, Adame, banhu,
  • banjo, Banks, Banta, Barak, bbc, blend,
  • BORISHORSE, bqux, Caleb, Cales, Caley,
  • calix, Calle, Calum, Calvo, CAPITAL, com,
  • DDoS, deal, deuce, Dever, devil, Devoe,
  • Devon, Devos, dewar, Eight, eject, eking,
  • Elbie, elbow, elder, Frendi, help, KARLOS,
  • karma, mamba, phoenix, PLUT, WALLET, zax.

باج افزار Phobos چگونه گسترش می یابد؟

مانند دیگر تهدیدهای سایبری ، باج افزار Phobos دستگاه ها را آلوده کرده و به طور بالقوه در کل شبکه گسترش می یابد.
هنگامی که باج افزار Phobos وارد سیستم شما می شود، فایل هایی با اندازه استاندارد را به طور کامل رمزگذاری می کند. الگوریتم رمزگذاری آن برای فایل های بزرگ متفاوت است به طوری که فقط بخش های انتخاب شده را تا حدی کد می کند. به این ترتیب می تواند در زمان صرفه جویی کند و حداکثر آسیب را همزمان افزایش دهد. اکثر فرمت های فایل تحت تأثیر باج افزار قرار می گیرند، از جمله پسوندهای محبوب مانند .avi ، .backup ، .doc ، .docx ، .html ، .jpg ، .jpeg ، .mkv ، .mp3 ، .mp4 ، .pdf ، .rar ، و .zip.
فایل های سیستم عامل‌ های زیر در اثر آلودگی رمزگذاری نمی شوند:

  • boot.ini
  • bootfont.bin
  • io.sys
  • ntldr
  • ntdetect.com

علاوه بر رمزگذاری پرونده های شما، Phobos همچنین فرآیندهای فعال سیستم عامل را خاتمه می دهد تا مسیر خود را در پرونده های شما پاک کند. در نهایت حالت ریکاوری و فایروال شما را نیز غیرفعال می کند تا از راه اندازی مجدد دستگاه جلوگیری کند و همچنین انتشار آن متوقف نشود.

نحوه رمزگشایی باج افزار Phobos

بر اساس فهرست گسترده ابزارهای رمزگشایی در وب سایت پروژه No More Ransom ، هر دو Dharma و CrySis توسط رمزگشای Rakhni که توسط Kaspersky Lab توسعه یافته رمزگشایی می شود. علاوه بر این، CrySis همچنین می تواند از طریق یک ابزار تخصصی ایجاد شده توسط Trend Micro رمزگشایی شود. اما متأسفانه، هنوز هیچ ابزار رمزگشایی باج افزار Phobos در دسترس قرار نگرفته است و تنها با پرداختن باج، ممکن است بتوان اطلاعات را بازیابی کرد.
طبق یک بررسی کامل که توسط Coverware انجام شده است، میزان بازیابی اطلاعات حدود 85 درصد است. یعنی حتی اگر مقدار هزینه‌ی مشخص شده را بپردازید، ممکن است باز هم ابزار رمزگشایی را دریافت نکنید. بنابراین، هیچ تضمینی وجود ندارد که بتوانید فایل های خود را بازیابی کنید. برفرض اگر این هزینه را هم بپردازید و اطلاعات خود را بازیابی کنید، شما خواسته ‌های مجرمان سایبری را در این فرآیند تأمین خواهید کرد، که به باند باج افزار Phobos اجازه می دهد در آینده ویرانی بیشتری را به بار آورد. بنابراین باج پرداخت نکنید. به جای آن بودجه و تلاش خود را برای پیشگیری به کار بگیرید.

جلوگیری از آلوده شدن سیستم توسط باج افزار Phobos

به کارکنان خود در مورد این باج افزار آموزش دهید
اگر صاحب مشاغلی هستید که در معرض حمله توسط باج افزار Phobos قرار دارید، بدانید که کارکنان شما اولین خط دفاعی شما در برابر حمله سایبری هستند. به همین دلیل است که من توصیه می کنم آنها را کاملا با این موضوع آشنا کنید تا از این حملات جلوگیری شود. به عنوان مثال راه های اصلی گسترش فوبوس و سایر باج افزارها را به آن‌ ها آموزش دهید. همچنین، آموزش نحوه تشخیص لینک‌ های مشکوک، پیوست های مخرب، مارک ‌های تقلبی و سایر اسپم ها یک منبع امنیتی ارزشمند برای تجارت شما است. البته، آموزش مناسب امنیت سایبری نباید به همین جا ختم شود. اعضای پرسنل شرکت شما باید از همه پیچیدگی های ناشی از آلودگی‌‌ های باج افزار و همچنین انواع دیگر تهدیدات سایبری موجود آگاه باشند.

همیشه برنامه ‌های آسیب پذیر نرم افزار را نصب و اجرا و به روز رسانی کنید

همانطور که قبلاً ذکر شد، Phobos با سوء استفاده از نرم افزارهای محافظ میتواند گسترش یابد. به همین دلیل است که باید به محض اینکه به روز رسانی نرم افزار توسط توسعه دهندگان آن انتشار می ‌یابد را نصب کنید. این مورد هم جزو مواردی است که حتما باید به کارکنان خود اطلاع دهید. زیرا ممکن است کارکنان شما به روز رسانی آن ها را به تعویق بیاندازند که این موضوع میتواند بسیار مخرب باشد. به روزرسانی خودکار Heimdal Patch & Asset Management که با Heimdal vention Threat Prevention یکپارچه شده است، به طور موثری این مشکل را حل می کند و به محض توزیع، وصله های شخص ثالث را در پس زمینه نصب می کند.

از داده‌ ها بک‌آپ های آنلاین و آفلاین بگیرید

داشتن پشتیبان از داده های شرکت یا داده‌ های شخصی خودتان، در صورت حمله باج افزار Phobos به شما کمک میکند بدون نیاز به پرداخت هزینه‌ های هنگفت برای رمزگشایی مجرمان سایبری، اطلاعات خود را بازیابی کنید. توصیه میکنیم که نسخه های آنلاین را در ابر و نسخه های آفلاین را با استفاده از دستگاه های ذخیره سازی خارجی ایجاد کنید. با این وجود، لطفاً به خاطر داشته باشید که حسابها و دستگاههای ذخیره شده مرتبط نیز می توانند از طریق آلودگی باج افزار رمزگذاری شوند. در صورت بروز چنین اتفاقی شما باید سریع پاسخ دهید و آنها را در اسرع وقت قطع کنید.

اندیشه های نهایی در مورد باج افزار Phobos

باج افزار Phobos ممکن است نسخه‌ای از Dharma و CrySis باشد، اما بر خلاف این دو، هنوز نمی توان آن را رمزگشایی کرد. به جای پرداخت باج، پیشنهاد می کنم تلاش های خود را برای حفاظت و پیشگیری از آلودگی آن به کارگیرید. با راه حل های مناسب امنیت سایبری، آموزش گسترده کارکنان و منبع پشتیبان قابل اعتماد داده ها می توانید شانس خود را در نبرد با تهدیدات پیشرفته آنلاین افزایش دهید.