Phobos که نخستین نسخه آن در اواخر سال 1397 شناسایی شد، همچنان سهم قابل‌توجهی از آلودگی‌ها را به خود اختصاص داده است.

کدنویسی و عملکرد Phobos از جهات بسیاری مشابه باج‌افزار معروف Dharma – که با نام CrySis نیز شناخته می‌شود – است.

اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاه‌های با رمز عبور ضعیف و اجرای فایل مخرب باج‌افزار، اصلی‌ترین روش انتشار Phobos است. هر چند که نمونه‌هایی از Phobos نیز از طریق هرزنامه‌های ناقل فایل / لینک مخرب یا با بهره‌جویی (Exploiting) از آسیب‌پذیری‌های امنیتی منتشر شده‌اند.

محل ذخیره‌سازی فایل مخرب این باج‌افزار %AppData% یا %LocalAppData% است.

Phobos برای ماندگاری طولانی‌تر، علاوه بر نگهداری نسخه‌ای از خود در پوشه Startup اقدام به ایجاد کلیدهایی نیز در محضرخانه (Registry) سیستم عامل می‌کند.

پیش از آغاز رمزگذاری، باج‌افزار، پروسه‌های زیر را متوقف می‌کند:

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

هدف از انجام این کار فراهم شدن امکان رمزگذاری فایل‌های مورد استفاده این پروسه‌هاست.

به گزارش شرکت مهندسی شبکه گستر، Phobos به فایل‌های رمزگذاری شده، پسوندی با قالب زیر الصاق می‌کند:

id[random numbers].[email].extension

در قالب مذکور، قسمت extension یکی از کلمات زیر می‌تواند باشد:

acute, actin, Acton, actor, Acuff, Acuna, acute, adage, Adair, Adame, banhu, banjo, Banks, Banta, Barak, Caleb, Cales,  Caley, calix, Calle, Calum, Calvo, deuce, Dever, devil, Devoe, Devon, Devos, dewar, eight, eject, eking, Elbie, elbow, elder‌phobos, help, blend, bqux, com, mamba, KARLOS, DDoS, phoenix, PLUT, karma, bbc, CAPITAL

برای مثال، در یکی از جدیدترین نمونه‌های این باج‌افزار در ایران، عبارت زیر به هر فایل رمزگذاری شده چسبانده می‌شود:

id[5ED##A##-####].[این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید].adage

از دیگر ایمیل‌های استفاده شده توسط مهاجمان Phobos می‌توان به موارد زیر اشاره کرد:

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

decryptyourdata@qq

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

اطلاعیه باج‌گیری (Ransom Note) در قالب دو فایل – با پسوند txt و hta – به کاربر ارائه می‌شود؛ فایل با پسوند hta پس از اتمام فرایند رمزگذاری در قالب یک پنجره بالاپر (Popup)  ظاهر می‌گردد.

 

Phobos فایل‌های با هر یک از پسوندهای زیر را بر روی کلیه درایوهای محلی و شبکه‌ای (Mapped) و حافظه‌های جداشدنی متصل به دستگاه مورد دست‌درازی قرار می‌دهد:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

این باج‌افزار ضمن صرف‌نظر کردن از رمزگذاری کلیه فایل‌های ذخیره شده در پوشه Windows و زیرپوشه‌های آن از دست‌درازی به فایل‌های با هر یک از پسوندهای زیر خودداری می‌کند:

1cd, 3ds, 3fr, 3g2, 3gp, 7z, accda, accdb, accdc, accde, accdt, accdw, adb, adp, ai, ai3, ai4, ai5, ai6, ai7, ai8, anim, arw, as, asa, asc, ascx, asm, asmx, asp, aspx, asr, asx, avi, avs, backup, bak, bay, bd, bin, bmp, bz2, c, cdr, cer, cf, cfc, cfm,  cfml, cfu, chm, cin, class, clx, config, cpp, cr2, crt, crw, cs, css, csv, cub, dae, dat, db, dbf, dbx, dc3, dcm, dcr, der, dib,  dic, dif, divx, djvu, dng, doc, docm, docx, dot, dotm, dotx, dpx, dqy, dsn, dt, dtd, dwg, dwt, dx, dxf, edml, efd, elf, emf, emz, epf, eps, epsf, epsp, erf, exr, f4v, fido, flm, flv, frm, fxg, geo, gif, grs, gz, h, hdr, hpp, hta, htc, htm, html, icb, ics, iff,  inc, indd, ini, iqy, j2c, j2k, java, jp2, jpc, jpe, jpeg, jpf, jpg, jpx, js, jsf, json, jsp, kdc, kmz, kwm, lasso, lbi, lgf, lgp, log, m1v, m4a, m4v, max, md, mda, mdb, mde, mdf, mdw, mef, mft, mfw, mht, mhtml, mka, mkidx, mkv, mos, mov, mp3, mp4, mpeg, mpg, mpv, mrw, msg, mxl, myd, myi, nef, nrw, obj, odb, odc, odm, odp, ods, oft, one, onepkg, onetoc2, opt, oqy, orf, p12, p7b, p7c, pam, pbm, pct, pcx, pdd, pdf, pdp, pef, pem, pff, pfm, pfx, pgm, php, php3, php4, php5, phtml, pict, pl, pls, pm, png, pnm, pot, potm, potx, ppa, ppam, ppm, pps, ppsm, ppt, pptm, pptx, prn, ps, psb, psd, pst, ptx, pub, pwm, pxr, py, qt, r3d, raf, rar, raw, rdf, rgbe, rle, rqy, rss, rtf, rw2, rwl, safe, sct, sdpx, shtm, shtml, slk, sln, sql, sr2, srf, srw, ssi, st, stm, svg, svgz, swf, tab, tar, tbb, tbi, tbk, tdi, tga, thmx, tif, tiff, tld, torrent, tpl, txt, u3d, udl, uxdc, vb, vbs, vcs, vda, vdr, vdw, vdx, vrp, vsd, vss, vst, vsw, vsx, vtm, vtml, vtx , wb2, wav, wbm, wbmp, wim, wmf, wml, wmv, wpd, wps, x3f, xl, xla, xlam, xlk, xlm, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xlw, xml, xps, xsd, xsf, xsl, xslt, xsn, xtp, xtp2, xyze, xz, zip

همچنین Phobos با اجرای فرامین زیر اقدام به حذف Shadow، غیرفعال کردن امکان راه‌اندازی سیستم در یکی از حالات موسوم به Recovery، حذف نسخه پشتیبان Catalog و متوقف نمودن دیواره آتش می‌کند:

vssadmin delete shadows /all /quiet

wmic shadowcopy delete

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

netsh advfirewall set currentprofile state off

netsh firewall set opmode mode=disable

 

توضیح اینکه نمونه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:

Bitdefender:

   – Trojan.Ransom.Phobos.F

McAfee:

   – Ransom-Phobos!C9E480CC558A

Sophos:

   – Troj/Phobos-B

منبع: شبكه گستر 

 

محققان امنیتی کسپرسکی کشف کردند که نرم‌افزار CamScanner یک مشکل امنیتی بزرگ دارد و به همین دلیل نیز گوگل آن را از بازار پلی استور حذف کرده است.

محققان امنیتی شرکت کسپرسکی به تازگی کشف کردند که نرم‌افزار  CamScanner یک مشکل امنیتی  دارد و به همین دلیل  گوگل آن را از بازار پلی استور حذف کرده است.
 
این نرم‌افزار محبوب در حدود ده سال پیش آغاز به کار کرد و تاکنون 100 میلیون بار توسط کاربران دانلود شده است.
این نرم‌افزار، کاربری ساده‌ای دارد و می‌تواند مدارک اسکن شده را به‌راحتی به فایل PDF تبدیل کند.
 
با این‌ حال محققان امنیتی کسپرسکی در به‌روزرسانی‌های ماه ژوئن و جولای این نرم‌افزار مورد مشکوکی را کشف کردند که در به‌روزرسانی‌های ماه اوت دیده نشده بود.
این مورد مشکوک درواقع بدافزاری بود که شمار زیادی از کاربران را تحت تأثیر قرار داده بود.

بر اساس گزارش و اظهارات محققان کسپرسکی، این بدافزار ممکن است اقدام به نمایش تبلیغات بی‌مورد و ثبت‌نام کاربر در اشتراک‌های پولی کند. گوگل پس از کشف این موضوع نرم‌افزار CamScanner را از پلی استور پاک کرد و به همین دلیل بهتر است که شما هم این نرم‌افزار را از دستگاه اندرویدی خود سریعا پاک کنید.

نکته اصلی این کشف آن است که حتی نرم‌افزارهایی که برای سالیان سال امن بوده‌اند و استفاده از آنها خطری برای کاربر ایجاد نکرده است ممکن است به‌صورت ناگهانی ناامن شوند .
حتی نرم‌افزارهای استورهای رسمی که شهرت خوبی داشته و میلیون‌ها نظر مثبت به آنها داده شده است می‌توانند در ظرف یک‌شب به یک بدافزار تبدیل شوند. 
 
در واقع این مشکل از زمانی شروع شد که CamScanner از یک ماژول سوم شخص که دارای یک Trojan Dropper بود استفاده کرد.
مشخص شد که این بدافزار کدهایی که از سایر ماژول‌های مخرب که به‌طور ناخواسته در دستگاه‌های کاربر بارگیری شده بود  را اجرا می‌کرد.

 

   امروزه سازندگان بدافزارها آن‌ها را در قالب‌های مختلفی منتشر می‌کنند. آنتی ویروس های ویروسی نیز جزوی از نرم افزارهای مخرب محسوب می‌شوند و به همین دلیل         کاربران باید مراقب باشند.

 

   محققان و پژوهشگران فعال در حوزه امنیت سایبری به تازگی اعلام کرده‌اند که بدافزار جدیدی در پلت‌فرم نرم‌افزار مایکروسافت ورد وجود دارد که رایانه آنها  را با مشکلات مواجه کند.