Phobos Ransomware

Znany również jako: Wirus Phobos
Dystrybucja: Niska
Poziom zniszczenia: Silny

Phobos ransomware removal instructions

What is Phobos?

Phobos to złośliwy program ransomware, który (podobnie jak większość programów tego typu) szyfruje/blokuje pliki danych i utrzymuje je w tym stanie do zapłacenia okupu. Phobos zmienia nazwy wszystkich zaszyfrowanych plików, dodając do nich rozszerzenie ".phobos" oraz unikatowy identyfikator ofiary i adres e-mail. Na przykład "1.jpg" może zostać zmieniona na np."1.jpg.ID-63857777. [[email protected]] .phobos" lub "1.jpg.ID-63857777. [[email protected]] .phobos". E-mail przedstawiony w dodanym rozszerzeniu jest różny. Wirus szyfruje dane za pomocą szyfrowania AES, a po zaszyfrowaniu generuje aplikację HTML ("Phobos.hta") i otwiera ją. Ta aplikacja wyświetla okno pop-up z wiadomością z żądaniem okupu.

W wiadomości z żądaniem okupu cyberprzestępcy twierdzą, że wszystkie pliki są zaszyfrowane. Aby je odszyfrować, ofiary muszą skontaktować się z nimi za pośrednictwem [email protected], [email protected] lub innych adresów e-mail i podać przypisany im identyfikator („ID szyfrowania"). Deweloperzy Phobos oferują bezpłatne odszyfrowywanie niektórych plików jako "dowód", że można im zaufać i są w stanie odszyfrować dane (posiadają wymagane narzędzie deszyfrujące). Zachęcają także ofiary do natychmiastowego skontaktowania się z nimi: podobno im szybciej skontaktują się z cyberprzestępcami, tym niższy będzie koszt odszyfrowania. Ostrzegają także użytkowników zainfekowanych komputerów, że tylko oni mogą odszyfrowować ich pliki. Podają, że wszelkie próby użycia innych narzędzi mogą spowodować trwałe uszkodzenie danych (utratę danych). Jedna ofiara skontaktowała się z programistami Phobos i otrzymała odpowiedź, że koszt deszyfrowania (w tym czasie) wynosił 3000 $. Twierdzono również, że jeśli płatność nie zostanie przesłana na portfel Bitcoin w ciągu sześciu godzin, koszt wzrośnie o 2000 $ ( całkowity koszt narzędzia deszyfrującego wynosiłby wtedy 5000 USD). Zwykle cyberprzestępcy używają algorytmów szyfrowania, które generują unikalne klucze i nie można ich "złamać". Ponadto deweloperzy ransomware przechowują te klucze na zdalnych serwerach kontrolowanych tylko przez nich. Odszyfrowanie bez udziału cyberprzestępców jest generalnie niemożliwe, jednak zalecamy, abyś nigdy im nie ufał, ani nie kontaktował się z nimi - ignorują oni swoje ofiary po otrzymaniu płatności. Jeśli twój komputer jest zainfekowany Phobos, najlepszym rozwiązaniem jest użycie istniejącej kopii zapasowej danych i odzyskanie plików z tego miejsca. Obecnie nie ma narzędzia umożliwiającego odszyfrowanie plików.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu za odszyfrowanie ich zainfekowanych danych:

Phobos decrypt instructions

Jest wiele programów typu "ransomware", z których większość jest bardzo podobna. Przykłady obejmują Seon, Nostro i LyaS. Głównym celem tych wirusów jest szyfrowanie danych i zmuszanie ofiar do zapłacenia okupu (zwykle w kryptowalucie). Głównymi różnicami są zwykle koszt za klucz deszyfrowania/narzędzie i algorytm szyfrowania używany do szyfrowania danych. Tylko programiści ransomware mogą zapewniać ofiarom klucze/narzędzia odszyfrowywania, a zatem nie jest możliwe całkowite odszyfrowanie danych bez ich udziału. Może to być możliwe wyłącznie wtedy, gdy wirus nie jest w pełni rozwinięty lub zawiera wady/błędy. Dlatego należy regularne tworzyć kopie zapasowe danych i przechowywać je na serwerach zdalnych lub odłączonych urządzeniach pamięci masowej.

W jaki sposób ransomware zainfekowało mój komputer?

Jest kilka powszechnie stosowanych sposobów infekowania komputerów ransomware, jednak nie wiadomo dokładnie, w jaki sposób cyberprzestępcy rozprzestrzeniają Phobos. Zazwyczaj twórcy ransomware rozsyłają te infekcje poprzez kampanie e-maili ze spamem, fałszywe aktualizacje oprogramowania, podejrzane źródła pobierania oprogramowania i trojany. Kampanie spamowe infekują komputery za pomocą załączników wiadomości e-mail, którymi mogą być dokumenty Microsoft Office, pliki archiwów, pliki wykonywalne, pliki PDF itd. Cyberprzestępcy wysyłają wiele wiadomości e-mail zawierających złośliwe załączniki, mając nadzieję, że niektórzy użytkownicy je otworzą. Otwieranie tych załączników/instalowanie złośliwego oprogramowania skutkuje zwykle zainfekowaniem komputera ransomware lub innymi wirusami wysokiego ryzyka. Fałszywe programy do aktualizacji oprogramowania często pobierają i instalują złośliwe oprogramowanie zamiast obiecanych aktualizacji lub wykorzystują błędy/wady nieaktualnego oprogramowania. Cyberprzestępcy używają podejrzanych źródeł pobierania oprogramowania (takich jak witryny z freeware do pobrania, bezpłatne witryny hostujące pliki i sieci typu peer-to-peer) w celu dystrybuowania złośliwych plików (plików wykonywalnych), przedstawiając je jako uzasadnione. Podczas ich pobierania i uruchamiania instalowane jest złośliwe oprogramowanie (takie jak programy ransomware). Trojany to wirusy (szkodliwe programy), które po zainstalowaniu dystrybuują ransomware i inne infekcje.

Podsumowanie zagrożenia:
NazwaWirus Phobos
Typ zagrożeniaRansomware, wirus szyfrowania, blokada plików
ObjawyNie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików.
Metody dystrybucjiZainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy.
ZniszczenieWszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware.
Usuwanie

Aby wyeliminować Wirus Phobos, nasi badacze malware zalecają przeskanowanie twojego komputera Spyhunter.
▼ Pobierz Spyhunter
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby usunąć malware, musisz zakupić pełną wersję Spyhunter.

Jak chronić się przed infekcjami ransomware?

Zachowaj środki ostrożności podczas przeglądania sieci, pobierania, instalowania i aktualizowania oprogramowania. Unikaj otwierania załączników prezentowanych w podejrzanych wiadomościach e-mail. Jeśli otrzymasz wiadomość e-mail zawierającą załącznik (lub link internetowy) wysłany z nieznanego/niewiarygodnego adresu e-mail, nie otwieraj załącznika ani nie klikaj przedstawionego linku. Pobieraj oprogramowanie za pomocą oficjalnych witryn lub innych wiarygodnych źródeł. Nie korzystaj z zewnętrznych programów pobierających lub innych podejrzanych narzędzi. Nie używaj nieoficjalnych narzędzi do aktualizacji oprogramowania - korzystaj z narzędzi lub wbudowanych funkcji dostarczanych wyłącznie przez oficjalnych programistów. Posiadaj zainstalowane renomowane oprogramowanie antywirusowe lub antyspyware - narzędzia te mogą wykrywać i eliminować różne zagrożenia (infekcje komputerowe), zanim będą mogły one wyrządzić jakiekolwiek szkody. Jeśli twój komputer jest już zainfekowany Phobos, zalecamy wykonanie skanowania za pomocą Spyhunter, aby automatycznie wyeliminować to ransomware..

Tekst wyświetlany w oknie pop-up ransomware Phobos:

Wszystkie twoje pliki są zaszyfrowane

Aby je odszyfrować, skontaktuj się z nami za pomocą tego e-maila: [email protected] Jako temat wpisz swój "Identyfikator szyfrowania: ********".

Oferujemy bezpłatne deszyfrowanie plików testowych jako dowód. Możesz dołączyć je do swojego e-maila, a my odeślemy ci je odszyfrowane.

Cena odszyfrowywania rośnie z czasem, pospiesz się i otrzymaj zniżkę.

Odszyfrowywanie za pomocą osób trzecich może prowadzić do oszustwa lub wzrostu ceny.

Zrzut ekranu innego wariantu okna pop-up ransomware Phobos:

another variant of Phobos ransomware pop-up window

Tekst prezentowany w drugim wariancie okna pop-up ransomware Phobos:

Wszystkie twoje pliki są zaszyfrowane

Witaj świecie

Dane na tym komputerze zamieniły się w bezużyteczny kod binarny

Aby wrócić do normalności, skontaktuj się z nami za pomocą tego e-maila: [email protected]

Jak temat wiadomości wpisz „Identyfikator szyfrowania: ********"

Interesujące fakty:

• 1. Z biegiem czasu, koszty rosną, nie trać czasu

• 2. Tylko my możemy ci pomóc, na pewno nikt inny.

• 3. BĄDŹ OSTROŻNY!!! Jeśli nadal próbujesz znaleźć inne rozwiązania tego problemu, zrób kopię zapasową plików, poeksperymentuj pobaw się z nimi. W przeciwnym razie mogą zostać trwale uszkodzone

• 4. Wszelkie usługi, które oferują pomoc, po prostu wezmą od ciebie pieniądze i znikną, lub będą pośrednikami między nami, z zawyżoną wartością. Ponieważ antidotum jest tylko u twórców wirusa

Zrzut ekranu plików zaszyfrowanych przez Phobos (rozszerzenie ".phobos", które zawiera ID i adres e-mail):

Files encrypted by Phobos

Usuwanie ransomware Phobos:

Natychmiastowe automatyczne usunięcie Wirus Phobos: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Wirus Phobos. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Phobos. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Phobos).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Phobos.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Phobos są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Phobos możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Phobos.

Zauważ, że aktualizacja Windows 10 Fall Creators Update obejmuje funkcję "Kontrolowany dostęp do folderu", która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware Phobos:

Źródło: https://www.pcrisk.com/removal-guides/14258-phobos-ransomware

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Instrukcje usuwania w innych językach
Kod QR
Wirus Phobos kod QR
Kod QR (Quick Response Code) to odczytywalny maszynowo kod, który przechowuje adresy URL oraz inne informacje. Kod ten może być odczytywany za pomocą kamery w smartfonie lub tablecie. Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Wirus Phobos na swoim urządzeniu mobilnym.
Polecamy:

Pozbądź się Wirus Phobos dzisiaj:

▼ USUŃ TO TERAZ za pomocą Spyhunter

Platforma: Windows

Ocena redaktora dla Spyhunter:
Wybitny!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter.