Vi støtter nettlesere, ikke dinosaurer. Oppdater nettleseren hvis du vil se innholdet på dette nettstedet riktig.

Er du ikke sikker på hvilken løsning som passer best for bedriften?
Hjelp meg med å velge
Skip to main content
  1. For bedrifter
  2. Ressurser
  3. Hva er Phobos-løsepengevirus?

Hva er Phobos-løsepengeviruset, og hvordan fjerner man det?

Phobos er en type løsepengevirus som dukket opp i 2018 og som fortsatt utgjør en trussel mot bedriftsservere. Det utnytter feilkonfigurasjoner av Remote Desktop Protocol (RDP), som brukes av millioner over hele verden når de kobler til bedriftsnettverk utenifra. Denne veiledningen forklarer hva Phobos er, hvordan det fungerer og hva som kan gjøres for å forebygge angrep på bedriften.

Beskytt bedriften med Avast Business-løsninger

Hva er Phobos?

Phobos er oppkalt etter den greske guden for frykt og er en type løsepengevirus som er nært knyttet til Crysis og Dharma, som er to andre kjente virus med lignende struktur og tilnærming. Crysis ble oppdaget i 2016 og ble populært da kildekoden ble publisert på internett. Etter at dekrypteringsnøkler for Crysis ble laget, oppdaterte nettkriminelle koden for å utvikle Dharma. Dharma ble igjen videreutviklet da dekrypteringsverktøy ble utviklet for å stoppe løsepengeviruset. 2018-utgaven av det er nå kjent som Phobos.

Selv om Dharma og Phobos har svært lik kode og begge er populære på grunn av enkelheten, er det en vktig forskjell: det finnes ikke dekrypteringsverktøy for Phobos (per våren 2022). Det betyr at små og mellomstore bedrifter må være spesielt oppmerksomme på faren for datasikkerheten ved angrep med Phobos-løsepengevirus.

En av grunnene til at Dharma og Phobos er populære blant hackere er tilnærmingen med løsepengevirus som en tjeneste, som krever få tekniske ferdigheter for å kunne utføre angrep. Begge er beregnet på Windows-systemer, siden de utnytter sikkerhetshull i Microsofts RDP-kommunikasjonsprotokoll.

Phobos-angrepsmetoder

Hackere bruker Phobos-løsepengevirus til å angripe eksterne skrivebord med svake passord, ved hjelp av hovedsakelig to angrepsmetoder:

  • Phishing-kampanjer utføres for å stjele kontoopplysninger og passord eller for å lure mottakeren til å åpne et skadelig e-postvedlegg.
  • Angriperen får direkte tilgang ved hjelp av Remote Desktop Protocol (RDP). Løsepengeviruset bruker porten 3389 til å prøve å få tilgang. Botnett kan brukes til å skanne etter systemer som har latt denne porten stå åpen og dermed gir potensielle angripere muligheten til å gjette påloggingsopplysninger ved hjelp av for eksempel angrep med rå kraft.

Hva gjør Phobos?

Når løsepengeviruset har fått tilgang til et system, prøver det som regel ikke å omgå brukerkontrollen i Windows (UAC). Angriperen kopierer den utførbare filen og kjører den med tilgangsrettigheter. Siden denne prosessen er så enkel, har Phobos blitt populær blant nettkriminelle fordi selv de med få ferdigheter kan utføre skadelige angrep.

Løsepengeviruset installerer seg selv på viktige plasseringer som oppstartsmappen og %APPDATA%-mappen i Windows, og det oppretter registernøkler slik at det kan gjenoppta kjøringenn selv om datamaskinen startes på nytt.

Phobos setter deretter i gang en kontinuerlig skanning av lokale brukerfiler og nettverksressurser, og det overvåker systemet for å fange opp nye filer som kan krypteres. Dette omfatter vanligvis brukeropprettede filer i dokumentmapper og andre brukermapper med for eksempel mediefiler.

Den skadelige programvaren gjør også beskyttende tiltak:

  • sletting av skyggekopier av filer
  • blokkering av gjenopprettingsmodus
  • deaktivering av sikkerhetstiltak, inkludert brannmur

Slike forsøk på å skjule spor ligner på tilnærmingen som brukes av Sodinokibi-løsepengeviruset.

Phobos-kryptering

Phobos bruker AES-256 og en annen populær algoritme, RSA-1024. Selve dataene er kryptert med AES, mens den private nøkkelen til dekryptering er kryptert med RSA. Både AES og RSA er svært utbredt innen sikker dataoverføring både til legitime og skadelige formål.

Filene gis nytt navn med en filtype som inneholder:

  • et ID-nummer som også finnes i notatet med løsepengekravet og består av to deler med både bokstaver og tall
  • en e-postadresse som også finnes i notatet med løsepengekravet og som kan brukes til å be om å få tilbake filene
  • et kodeord som er et tilsynelatende tilfeldig ord som brukes som en kode for personen eller gruppen som står bak angrepet

Filtypen har dette formatet:

.ID[e-postadresse 1].[kodeord]

For eksempel kan en fil med opprinnelig navn Bilde.jpg få et nytt navn som dette:

Bilde.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow

Dessverre finnes det ikke dekrypteringsverktøy for Phobos annet enn de nøklene som de nettkriminelle som laget løsepengeviruset selv har. Dette understreker viktigheten av å utføre regelmessig sikkerhetskopiering og lagre sikkerhetskopiene på en sikker plassering, for det kan være eneste måte å gjenopprette bedriftens data. Like viktig er bruk av datasikkerhetsprogramvare som skanner etter og fjerner skadelige filer.

Tiltak hvis datamaskinen har blitt hacket med løsepengevirus

Du har kanskje gjort alt du kan for å forebygge løsepengevirus, men hvis enheter eller nettverk likevel har blitt infisert et det noen tiltak som bør gjøres for å beskytte bedriften.

Isoler enheten fra nettverket

Første trinn er å redusere skadeomfanget og hindre viruset i å spre seg videre. Den infiserte enheten bør øyeblikkelig kobles fra internett og fjernes fra nettverket. Alle tilkoblede enheter bør skannes etter skadelig programvare.

Vær oppmerksom på at mottak av et løsepengekrav ikke er slutten på et Phobos-angrep. Løsepengeviruset fortsetter å skanne etter endringer på enheten og kan infisere nye filer selv om det ikke har internettforbindelse.

Bruk sikkerhetsverktøy til å fjerne den skadelige programvaren

Det finnes flere fjernemetoder avhengig av typen løsepengevirus. I noen tilfeller sletter løsepengeviruset seg selv for å gjøre det vanskeligere å identifisere angrepstypen og finne dekrypteringsverktøy. Ellers blir filen liggende, og det kreves et verktøy for å fjerne den og rydde opp på systemet.

Avasts datasikkerhets­løsninger for små bedrifter finner og fjerner mange ulike typer løsepengevirus og beskytter enhetene mot fremtidige angrep.

Gjenopprett data fra en sikkerhetskopi

Hvis du har lagret regelmessige sikkerhetskopier bør du kunne gjenopprette bedriftens data på en sikker måte etter at løsepengeviruset er fjernet.

Hvis du ikke har sikkerhetskopi, og så lenge det ikke finnes en dekrypteringsnøkkel, finnes det ingen gjenopprettingsløsninger for Phobos-angrep. I en slik situasjon kan du ikke gjøre annet enn å sikkerhetskopiere filer du har tilgang til og oppbevare dem til en nøkkel blir offentliggjort.

Vi anbefaler ikke å betale løsepenger. Betaling vil bare oppmuntre til ytterligere angrep, og det er uansett ingen garanti for at de nettkriminelle vil gi deg tilgang til filene igjen.

Rapporter angrepet til myndighetene

Nettkriminalitet bør rapporteres til myndighetene slik at angrepstrender kan registreres. I USA skal løsepengevirus rapporteres til Cyberstructure & Infrastructure Security Agency (CISA) via rapporteringsverktøyet. I Storbritanna skal nettkriminalitet rapporteres til Action Fraud.

Beskytt mot Phobos med Avasts datasikkerhets­løsninger for små bedrifter

Siden Phobos-krypteringen ikke kan dekrypteres (ennå), avhenger sikkerheten til bedrifter og data av regelmessige sikkerhetskopier og forebygging av angrep med løsepengevirus på enheter.

Avasts datasikkerhets­løsninger for små bedrifter kan bidra til å beskytte brukerne mot Phobos, WannaCry og mange andre typer skadelig programvare. Velg beskyttelsesnivået som er nødvendig for bedriftens behov, og få beskyttelse for enheter og nettverk mot nettangrep.

Beskytt bedriften med Avast Business-løsninger
Lukk

Nesten ferdig!

Fullfør installasjonen ved å klikke på den nedlastede filen og følge veiledningen på skjermen.

Starter nedlasting …
Merk: Hvis nedlastingen ikke startet automatisk, klikker du her.
Klikk på denne filen for å starte installasjonen av Avast.
Norge
Privat
Bedrifter
For partnere
Firma
© 2024 Gen Digital Inc. Med enerett.
Personvernerklæring Produktpolicy Juridisk Rapporter sårbarhet Kontakt oss om sikkerhet Erklæring om moderne slaveri Abonnementsinformasjon