Nous prenons en charge les navigateurs, pas les fossiles. Pour que le contenu de cette page web s’affiche correctement, vous devez mettre à jour votre navigateur.

Vous ne savez pas quelle solution choisir pour votre entreprise ?

Qu’est-ce que le ransomware Phobos et comment le supprimer

Phobos est un type de ransomware qui a fait son apparition en 2018 et qui reste une menace pour les serveurs des entreprises. En effet, il exploite des protocoles de bureau à distance (RDP) mal configurés, utilisés par des millions de personnes dans le monde pour se connecter à distance à leurs réseaux professionnels. Dans ce guide, vous découvrirez la définition de Phobos, son fonctionnement et les mesures à prendre pour l’empêcher d’attaquer votre entreprise.

Qu’est-ce que Phobos ?

Phobos, du nom du dieu grec de la peur, est un type de ransomware dont la structure et l’approche sont étroitement liées à deux autres types de virus notoires, Crysis et Dharma. Crysis a été identifié pour la première fois en 2016 et s’est généralisé lorsque son code source a été publié en ligne. Suite à la création des clés de déchiffrement de Crysis, les cybercriminels ont mis à jour son code pour créer Dharma. De la même façon, lorsque des outils de déchiffrement ont été développés pour contrer Dharma, le ransomware a de nouveau évolué. Cette version 2018 est connue sous le nom de Phobos.

Si Dharma et Phobos sont très similaires en termes de code et très répandus en raison de leur simplicité, une différence majeure subsiste : début 2022, il n’existe toujours pas d’outil de déchiffrement pour Phobos. Par conséquent, les petites et moyennes entreprises doivent être particulièrement vigilantes quant à l’impact qu’une attaque par ransomware Phobos pourrait avoir sur la sécurité de leurs données.

L’une des raisons pour lesquelles Dharma et Phobos sont appréciés des pirates réside dans leur approche « ransomware-as-a-service » (RaaS, ou ransomware en tant que service), qui nécessite des compétences techniques minimales pour lancer une attaque. Tous deux sont conçus pour cibler les systèmes Windows, car ils exploitent des failles dans le protocole de communication RDP de Microsoft.

Vecteurs d’attaque du ransomware Phobos

Les pirates utilisent le ransomware Phobos pour cibler les postes de travail distants dont les mots de passe sont faibles en utilisant deux vecteurs d’attaque principaux :

  • En menant des campagnes de phishing pour voler des informations sur les comptes et les mots de passe, ou pour inciter la victime à ouvrir une pièce jointe malveillante.
  • En obtenant un accès direct à l’aide du protocole de bureau à distance (RDP). Le port spécifique visé par le ransomware est le port 3389. Des botnets recherchent les systèmes qui ont gardé ce port ouvert, ce qui donne l’occasion aux cybercriminels de deviner les identifiants de connexion en utilisant, par exemple, une attaque par force brute.

Comment Phobos agit-il ?

Une fois l’accès à un système sécurisé, le ransomware ne tente généralement pas de contourner le contrôle des comptes d’utilisateurs (UAC) de Windows. Le pirate copie le fichier exécutable et le lance en bénéficiant de privilèges d’accès. La simplicité de ce processus a rendu Phobos populaire auprès des cybercriminels, car il permet à ceux qui ont moins de compétences de mener une attaque percutante.

Le ransomware s’installe ensuite à des emplacements clés, tels que le dossier de démarrage de Windows et le dossier %APPDATA%, et crée des clés de registre afin de pouvoir reprendre ses activités même après un redémarrage du système.

Phobos lance alors une analyse continue pour cibler les fichiers des utilisateurs locaux et les partages réseau, et surveiller les nouveaux fichiers qui répondent aux exigences de chiffrement. Il s’agit généralement de fichiers créés par l’utilisateur, notamment des documents, des dossiers couramment utilisés et des supports multimédias.

Le malware prend également certaines mesures de protection, notamment :

  • Suppression des sauvegardes de fichiers par copie fantôme
  • Blocage du mode de récupération
  • Désactivation des mesures de sécurité, y compris les pare-feu

Ces tentatives de dissimulation sont similaires à l’approche adoptée par le ransomware Sodinokibi.

Le chiffrement de Phobos

Phobos utilise la norme de chiffrement avancée AES-256 ainsi qu’un autre algorithme populaire, RSA-1024. Les données elles-mêmes sont chiffrées avec AES, tandis que la clé privée employée pour le déchiffrement est chiffrée avec RSA. Les normes AES et RSA sont largement utilisées pour la transmission sécurisée de données, à des fins légitimes ou malveillantes.

Les fichiers sont ensuite renommés avec une extension contenant :

  • Un numéro d’identification, qui figure également dans la demande de rançon. En deux parties, il peut contenir des lettres et des chiffres.
  • Une adresse électronique qui figure également dans le message et auprès de laquelle les victimes sont invitées à réclamer leurs fichiers.
  • Une extension, soit un mot apparemment aléatoire utilisé pour distinguer la personne ou le groupe responsable de l’attaque.

L’extension est structurée comme suit :

.ID[adresse électronique 1].[extension ajoutée]

Par exemple, un fichier initialement nommé Photo.jpg pourrait être renommé ainsi :

Photo.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow

Malheureusement, il n’existe pas de déchiffrement de Phobos en dehors des clés détenues par les cybercriminels qui ont créé le ransomware. Il est donc impératif d’effectuer des sauvegardes régulières de votre système et de les stocker dans un endroit sûr, cela pourrait être le seul moyen de récupérer les données de votre entreprise, et d’utiliser un logiciel de cybersécurité pour rechercher et supprimer les fichiers malveillants.

Que faire si votre ordinateur est piraté pour obtenir une rançon

Même si vous avez fait tout votre possible pour éviter les ransomwares, si vous découvrez que votre appareil ou votre réseau a été infecté, prenez un certain nombre de mesures pour protéger votre entreprise.

Isolez l’appareil du réseau

La première étape consiste à minimiser les dommages et à empêcher le virus de se propager. L’appareil infecté doit être immédiatement déconnecté d’Internet et écarté du réseau. Tous les appareils qui y étaient connectés doivent être analysés pour détecter les logiciels malveillants.

N’oubliez pas que la réception de la demande de rançon ne marque pas la fin de l’attaque Phobos. Le ransomware continue à rechercher les modifications apportées à l’appareil et à infecter de nouveaux fichiers, même sans connexion Internet.

Utilisez des outils de sécurité pour supprimer le logiciel malveillant

En fonction du type de ransomware, il existe plusieurs méthodes de suppression. Dans certains cas, le ransomware se supprime lui-même pour rendre plus difficile l’identification du type d’attaque et la localisation d’une clé de déchiffrement, si elle existe. Dans d’autres cas, le fichier demeure et nécessite un outil de suppression pour nettoyer votre système.

Les solutions de cybersécurité Avast Small Business peuvent identifier et supprimer de nombreux types différents de ransomwares pour protéger vos appareils contre de futures attaques.

Restaurez vos données à partir d’une sauvegarde

Si vous avez effectué des sauvegardes régulières, vous devriez être en mesure de récupérer vos données professionnelles en toute sécurité une fois le ransomware éliminé.

Sans sauvegarde et sans clé de déchiffrement disponible, il n’existe aucune solution de récupération en cas d’attaque Phobos. Dans ce cas, la seule chose à faire est de sauvegarder tous les fichiers auxquels vous pouvez encore accéder jusqu’à ce qu’une clé soit rendue publique.

Il n’est pas recommandé de payer la rançon. Non seulement les paiements encouragent de nouvelles attaques, mais il n’y a aucune garantie que le cybercriminel vous rende vos fichiers.

Signalez l’attaque aux autorités

La cybercriminalité doit être signalée aux autorités afin que les tendances des attaques puissent être consignées. Aux États-Unis, les attaques par ransomware doivent être signalées à l’agence de cybersécurité et de sécurité des infrastructures (CISA) au moyen de son outil de signalement. Au Royaume-Uni, la cybercriminalité doit être signalée à Action Fraud.

Protégez-vous de Phobos grâce aux solutions de cybersécurité Avast Small Business

Le chiffrement de Phobos ne pouvant pas encore être décodé, la sécurité de votre entreprise et de ses données dépend de l’exécution de sauvegardes régulières et de la prévention de l’accès des ransomwares à vos appareils.

Les solutions de cybersécurité Avast Small Business aident à protéger les utilisateurs contre Phobos, WannaCry et de nombreux autres types de malwares. Choisissez le niveau de protection requis selon vos besoins spécifiques et protégez vos appareils et votre réseau contre les cyberattaques.

Fermer

Vous y êtes presque !

Pour terminer l’installation, cliquez sur le fichier téléchargé et suivez les instructions qui s’affichent à l’écran.

Lancement du téléchargement…
Remarque : Si le téléchargement ne démarre pas automatiquement, cliquez ici
Cliquez sur ce fichier pour lancer l’installation d’Avast.