PHOBOS Ransomware - Verwijderen + Hoe te .PHOBOS Bestanden terugzetten
BEDREIGING VERWIJDEREN

PHOBOS Ransomware – Verwijderen + Hoe te .PHOBOS Bestanden terugzetten

Deze blog post is bedoeld om u te helpen door te laten zien hoe Phobos ransomware te verwijderen en hoe u AES versleutelde bestanden te herstellen met .PHOBOS bestandsextensie zonder losgeld te betalen.

Een virus, uit het bestand type versleuteling, genaamd Phobos ransomware is gedetecteerd door malware onderzoekers. de ransomware, ook genoemd Phobos, maakt gebruik van een unieke slachtoffer ID na de infectie en maakt gebruik van AES encryptie om de belangrijke bestanden op uw computer niet meer kunnen worden geopend. Na versleutelt bestanden, het virus voegt de .PHOBOS bestandsextensie om de gecodeerde bestanden, samen met de e-mail van de cyber-crimianals om hen te contacteren. Het uiteindelijke doel van dit virus is om u te kopen BitCoin en betaalt de cybercriminelen om uw gecodeerde bestanden te herstellen.

bedreiging Samenvatting

NaamPHOBOS
TypeRansomware, Cryptovirus
Korte OmschrijvingVersleutelt de bestanden via AES cipher en dan daalt een losgeldbrief, vraagt ​​slachtoffers om losgeld te betalen in ruil voor hun bestanden.
SymptomenBestanden worden versleuteld met de .PHOBOS bestandsextensie en een Phobos.hta losgeld nota bestand is toegevoegd.
Distributie MethodeSpam e-mails, E-mailbijlagen, uitvoerbare bestanden
Detection Tool Zien of je systeem is getroffen door PHOBOS

Download

Malware Removal Tool

GebruikerservaringWord lid van onze Forum om te bespreken PHOBOS.
Data Recovery ToolWindows Data Recovery door Stellar Phoenix kennisgeving! Dit product scant uw schijf sectoren om verloren bestanden te herstellen en het kan niet herstellen 100% van de gecodeerde bestanden, maar slechts weinigen van hen, afhankelijk van de situatie en of u uw schijf hebt geformatteerd.

PHOBOS Ransomware - Update april 2019

Phobos ransomware heeft een paar kleine wijzigingen aangebracht om het in april, 2019. Een van de is de nieuwe losgeldnota opgeslagen in een tekstbestand met de naam info.txt. De nota bevat de volgende inhoud:

!!! Al uw bestanden worden versleuteld !!!
Decoderen hen e-mail te sturen naar dit adres: posiccimen1982@aol.com.
Als we geen antwoord in 48 uur., stuur een e-mail naar dit adres: stanodexne1982@aol.com
Als er geen reactie van onze e-mail, kunt u de Jabber-client te installeren en schrijf ons ter ondersteuning van waitheisenberg@xmpp.jp

Bovendien, is er waarschijnlijk een kwaadaardige spam campagne die nu is het verspreiden van de Phobos cryptovirus als we zien een stijging van de zoekopdrachten voor deze bedreiging.

PHOBOS Ransomware - Update januari 2019

De Phobos ransomware is terug na een lange tijd van afwezigheid. Twee nieuwe varianten zijn cirkelen het internet sinds de maand december 2018. Het lijkt er zijn al slachtoffers van de nieuwe versies. Beiden gebruiken de .phobos uitbreiding toegevoegd aan versleutelde bestanden. De volgende e-mail adressen worden gegeven voor contact met de cybercriminelen:

  • Job2019@tutanota.com
  • Cadillac.407@aol.com

Er is niet veel veranderd sinds de officiële release van PHOBOS ransomware. 5,000 US dollar is het losgeld bedrag dat wordt geëist door de criminelen.

PHOBOS Ransomware – Infectie

De cybercriminelen achter PHOBOS ransomware gericht op meerdere verschillende technieken uit te voeren om de infectie bestand met gespreid PHOBOS ransomware. De belangrijkste van deze technieken wordt gerapporteerd aan e-mail spam. Een dergelijke spamberichten streven ernaar om u te laten denken dat ze legitiem zijn en krijg je een schadelijke bijlage geupload op de te downloaden. Hier is een voorbeeld van hoe een kwaadaardige spam (malspam), spreiden PHOBOS ransomware kan er zo uitzien:

De kwaadaardige bestanden kunnen ook worden ingebed in een extern web link die wordt meegestuurd met de e-mail, als een knop te koppelen aan een Dropbox-account of een andere vorm van de rekening voor het online delen van bestanden, van waaruit het kwaadaardig bestand wordt direct gedownload. Dit wordt gedaan met het oog op het omzeilen van elke e-mail leveranciers die het bericht als kwaadaardig kan detecteren. Hier is hoe een dergelijke e-mail kunnen worden weergegeven als:

De bestanden zelf kan ofwel direct uitvoerbare bestanden die u infecteren na het openen of ze kunnen ook malicous Microsoft Office-documenten met macro's in hen. Deze bestanden komen als legitieme documenten en nadat u ze opent, zie je een vergrendelde Microsoft-document waarin u wordt gevraagd "Inhoud aanzetten" door te klikken op een gele balk erboven. Vanaf daar, de kwaadaardige macro's worden geactiveerd en infectie plaatsvindt:

PHOBOS Ransomware - kwaadaardige activiteiten

Wanneer een infectie met PHOBOS ransomware vindt plaats, de kwaadaardige lading fo de ransomware virus laat vallen op de computer van het slachtoffer. De nuttige lading bestaat uit één of meer schadelijke bestanden die willekeurige namen kunnen hebben en kunnen worden verborgen in de gebruikelijke Windows-mappen door malware, die de volgende:

Nadat de lading is gedaald, PHOBOS ransomware verkrijgt beheerdersrechten, die het mogelijk maakt de malware om meerdere verschillende soorten registry entries te creëren in de Windows reigstry editor. Sommigen van hen richten op de Rennen en RunOnce registersleutels van Windows. Deze sub-keys zijn verantwoordelijk voor de automatische uitvoering van de kwaadaardig bestand van PHOBOS ransomware, dat is responsble voor het coderen van bestanden. De sub-keys waarin je die items kunnen vinden hebben de volgende locatie:

→ HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

In aanvulling op het aanvallen van je Windows-register-editor, de PHOBOS virus kan ook de schaduw volume compies van uw Windows-machine te verwijderen, door het uitvoeren van een batch (.knuppel) script als achtergrond applicatie, zonder dat u het merkt. Het script kan Windows Command Prompt als beheerder en voer de volgende commando's om de kopieën en herstel uitschakelen verwijderen:

→ proces tot stand wilt brengen “cmd.exe / c
vssadmin.exe verwijderen schaduwen / all / quiet & bcdedit.exe / set {standaard} recoveryenabled geen & bcdedit.exe / set {standaard} bootstatuspolicy ignoreallfailures”

>

In toevoegingen aan de schadelijke bestanden, een Phobos.hta losgeld nota laat vallen op computers van de slachtoffers en het lijkt erop dat de volgende:

Tekst uit Phobos.hta:

“Al uw bestanden worden versleuteld
Hallo Wereld
De gegevens op deze PC omgezet in een nutteloze binaire code
Om terug te keren naar de normale, neem dan contact met ons op via deze e-mail: OttoZimmennan@pmtonmall.di
Stel onderwerp van uw bericht naar ‘Encryption ID:{AANGEPAST ID}’
Interessante feiten:
1. Na een tijdje, de kostenstijging, verspil je tijd niet
2. Alleen kunnen wij u helpen, zeker, niemand anders.
3. DOE VOORZICHTIG !!! Als u nog steeds proberen om andere oplossingen voor het probleem te vinden, maak een backup van de bestanden die u wilt om te experimenteren op, en spelen met hen.
Anders kunnen ze permanent beschadigd
4. Alle services die bieden u helpen of gewoon geld van u en verdwijnen, of zullen zij bemiddelaars tussen ons, met overdreven waarde. Aangezien het tegengif is slechts een van de makers van het virus”

PHOBOS Ransomware – encryptie Proces

De versleuteling van PHOBOS ransomware wordt uitgevoerd via de AES-encryptie-algoritme (Advanced Encryption Standard). Het is het soort cijfer dat een klein deel van het oorspronkelijke bestand verandert met de symbolen van de cipher's, net genoeg om het bestand niet meer openen maken. De manier waarop de encryptie werkt is dat het genereert een decryptie sleutel die de encryptie-proces kan terugkeren, maar dit asymmetrische sleutel is alleen bekend bij de cyber-criminelen. Naast deze, the PHOBOS ransowmare also scans the victim’s computer for the following file types:

→ "PNG .PSD .pspimage .TGA .THM .TIF .TIFF .YUV .AI EPS .PS .SVG .indd .pct .PDF .xlr XLS XLSX .accdb .DB .DBF MDB .PDB .SQL APK .app BAT .cgi .COM .EXE .gadget .JAR PIF wsf .dem .gam NES .ROM .SAV CAD bestanden DWG DXF GIS Files .GPX .KML .KMZ .ASP .aspx .CER .cfm .CSR .CSS HTM HTML .JS .jsp .PHP .rss .xhtml. DOC .DOCX .LOG .MSG .odt .pagina .RTF .tex TXT .WPD .WPS CSV .DAT .ged .KEY .KEYCHAIN ​​.PPS .PPT .PPTX ..INI PRF-gecodeerde bestanden .HQX .mim .uue .7z .cbr .deb .GZ .pkg .RAR .rpm .sitx .TAR.GZ ZIP .ZIPX BIN .CUE .DMG .ISO .MDF dress.Toast .VCD SDF .tar .TAX2014 .TAX2015 .VCF .XML Audio files .AIF .IFF .M3U .M4A .MID- .MP3 .mpa WAV WMA Videobestanden .3g2 .3GP .ASF AVI FLV M4v MOV MP4-.MPG .RM SRT .SWF .VOB .WMV 3D .3 dm .3DS .MAX .OBJ R.BMP .dds .GIF .JPG .crx .plugin .FNT .fon .otf .TTF .CAB .CPL .CUR .DESKTHEMEPACK DLL .dmp drv .icns ICO LNK. SYS .CFG”

Nadat de bestanden zijn versleuteld, PHOBOS ransomware voegt de .PHOBOS bestandsextensie en een unieke ID plus de e-mail waarin u contact opnemen met de cyber-criminelen. De versleutelde bestanden kunnen niet meer worden geopend en er als volgt uitzien:

Verwijder PHOBOS Ransomware en herstellen gecodeerde bestanden

Om zich te ontdoen van deze ransomware besmetting van uw computersysteem, aanbevelingen zijn om de instructies voor het verwijderen onderaan dit artikel te volgen. Ze zijn onderverdeeld in handmatige en automatische oplossingen verwijdering. Terwijl de instructies in de handleiding voor u nuttig kan zijn als je ervaring hebt in het verwijderen van malware, deskundigen adviseren vaak naar aanleiding van de automatische verwijdering manual. Het omvat het gebruik van een geavanceerde anti-malware software om uw computer automatisch te scannen en deze te verwijderen PHOBOS ransomware volledig en veilig.

Als u bestanden wilt terugzetten die zijn versleuteld met PHOBOS ransomware, het wordt aanbevolen om de alternatieve methoden te verwijderen die we beneden in stap hebben gesuggereerd tru "2. bestanden versleuteld door PHOBOS herstellen” Ze zijn speciaal ontworpen om u te proberen en te herstellen zoveel gecodeerde bestanden mogelijk zonder dat het losgeld te betalen

avatar

Ventsislav Krastev

Ventsislav is over de laatste malware, software en de nieuwste technische ontwikkelingen bij SensorsTechForum voor 3 Al jaren. Hij begon als een netwerkbeheerder. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor ontdekking van nieuwe veranderingen en innovaties in cybersecurity dat spel wisselaars worden. Na het bestuderen van Value Chain Management en vervolgens Network Administration, vond hij zijn passie binnen cybersecrurity en is een groot voorstander van het basisonderwijs van elke gebruiker in de richting van online veiligheid.

Meer berichten - Website

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...