Phobos e cel mai nou ransomware care te poate lăsa fără fișiere

Anul 2018 a fost cel al ransomware-ului, având în vedere câte atacuri de acest fel am văzut, dar pare că nici 2019 nu ne scapă de acești viruși.

Un grup de hackeri care se află în spatele altor atacuri ransomware distribuie acum o nouă formă de malware de acest fel, care combină două atacuri de succes într-unul singur.

Ransomware-ul, cunoscut ca Phobos, a apărut în decembrie, iar cercetătorii de la CoveWare au detaliat similitudinile cu virusul Dharma. Acesta exploatează porturi RDP, pentru a intra în rețele și a executa atacuri ransomware. Fișierele sunt criptate și se cere o recompensă în Bitcoin.

O bună parte din codul celor doi viruși este similar; chiar și mesajul prin care ești informat că fișierele tale au fost criptate e aproape identic. Cercetătorii spun că e, în mare parte, un ”copy-paste” după Dharma.

Totuși, Phobos vine și cu elemente de la CrySiS, un alt ransomware. Sunt programe antivirus care detectează Phobos ca fiind, de fapt, CrySis. Creatorii îl diferențiază, de asemenea, dar metodele de atac rămân similare.

”Cu toate că e clar că ransomware-ul este diferit, grupul care distribuie Phobos, metodele de exploatare, mesajele de informare și tipul de comunicare rămân aproape identice cu cele din cazul Dharma”, au detaliat cei de la CoveWare într-o postare pe blogul companiei.

Phobos este, cel mai probabil, o poliță de asigurare a atacatorilor. Rămâne o opțiune secundară pentru atacuri, în eventualitatea în care Dharma este decriptat sau blocat de la a mai extorca victime.

Momentan, Dharma rămâne unul dintre cele mai periculoase tipuri de ransomware, care a adus între cele mai mari pagube anul trecut. Securizarea porturilor RDP poate fi o soluție împotriva acestor atacuri, care se orientează după porturi deschise sau slab securizate.