Το Kmrox Ransomware είναι μέλος της οικογένειας Phobos

Κατά την εξέταση νέων δειγμάτων αρχείων που υποβλήθηκαν, οι ερευνητές μας βρήκαν μια άλλη παραλλαγή του ransomware Phobos που ονομάζεται Kmrox. Αυτός ο τύπος κακόβουλου λογισμικού εμπίπτει στην κατηγορία του ransomware, το οποίο έχει σχεδιαστεί για να κρυπτογραφεί δεδομένα και να απαιτεί πληρωμή για την αποκρυπτογράφηση του.

Στο σύστημα δοκιμών μας, η Kmrox κωδικοποίησε αρχεία και τροποποίησε τα ονόματά τους. Τα αρχικά ονόματα αρχείων επεκτάθηκαν με μια μοναδική ταυτότητα που συνδέεται με το θύμα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου των εγκληματιών του κυβερνοχώρου και μια επέκταση ".kmrox". Για παράδειγμα, ένα αρχείο που είχε αρχικά επισημανθεί ως "1.jpg" εμφανίστηκε ως "1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox" και ούτω καθεξής. Μετά από αυτό, δημιουργήθηκαν σημειώσεις λύτρων μέσω ενός αναδυόμενου παραθύρου ("info.hta") και ενός αρχείου κειμένου ("info.txt").

Τα μηνύματα λύτρων από το Kmrox καθορίζουν ότι τα αρχεία δεν είναι προσβάσιμα λόγω κρυπτογράφησης. Οι σημειώσεις υποδεικνύουν ότι ο μόνος τρόπος για να ανακτήσετε τα αρχεία είναι να αγοράσετε το κλειδί αποκρυπτογράφησης και το λογισμικό από τους εγκληματίες του κυβερνοχώρου. Η πληρωμή απαιτείται με τη μορφή κρυπτονομίσματος Bitcoin, αν και το ακριβές ποσό δεν αναφέρεται σε αυτά τα μηνύματα - υποδηλώνεται μόνο ότι η πληρωμή μπορεί να επηρεαστεί από το πόσο γρήγορα πραγματοποιείται η επαφή.

Στο θύμα δίνεται επίσης η επιλογή ενός δωρεάν τεστ αποκρυπτογράφησης (εντός συγκεκριμένων παραμέτρων). Οι σημειώσεις ολοκληρώνονται με προειδοποιήσεις κατά της τροποποίησης των κρυπτογραφημένων δεδομένων και της αναζήτησης βοήθειας από τρίτα μέρη.

Το Kmrox χρησιμοποιεί μακροσκελή σημείωση λύτρων

Το πλήρες κείμενο του σημειώματος λύτρων Kmrox έχει ως εξής:

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί!

Προς το παρόν δεν υπάρχει τρόπος αποκρυπτογράφησης των δεδομένων, παρά μόνο να ζητήσετε από εμάς έναν αποκρυπτογραφητή και ένα κλειδί με το οποίο θα ανακτήσετε όλα τα δεδομένα σας.
Εάν θέλετε να τα επαναφέρετε, γράψτε μας στο email: exezez@blaze420.it
Γράψτε αυτό το αναγνωριστικό στον τίτλο του μηνύματός σας -
Για γρήγορη και βολική ανατροφοδότηση, γράψτε στον διαδικτυακό χειριστή στο messenger του Telegram: @exezaz
(Προσέξτε όταν εισάγετε το όνομα του λογαριασμού Telegram, πρέπει να είναι ακριβώς το ίδιο με το παραπάνω, προσέξτε τους ψεύτικους λογαριασμούς.)
Επίσης, από ορισμένες υπηρεσίες αλληλογραφίας, η επιστολή σας ενδέχεται να μην φτάσει ή να μην εισέλθει σε ανεπιθύμητη αλληλογραφία, επομένως για να αυξήσετε την πιθανότητα να λάβετε γρήγορη απάντηση, αντιγράψτε επίσης τις επιστολές σας στις εφεδρικές διευθύνσεις ηλεκτρονικού ταχυδρομείου μας: helze@cyberfear.com και exezaz@msgden.com
Η πληρωμή για την αποκρυπτογράφηση γίνεται σε bitcoin. Για να μάθετε την τιμή, γράψτε στις παραπάνω επαφές. Όσο πιο γρήγορα επικοινωνήσετε μαζί μας, τόσο χαμηλότερη θα είναι η τιμή. Μετά την πληρωμή, θα σας στείλουμε ένα εργαλείο που θα αποκρυπτογραφήσει όλα τα αρχεία σας.

Δωρεάν αποκρυπτογράφηση ως εγγύηση
Πριν πληρώσετε μπορείτε να μας στείλετε έως και 3 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 4 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες. (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλα φύλλα excel κ.λπ.)

Πώς να αποκτήσετε Bitcoins
Μπορείτε να αγοράσετε Bitcoin σε οποιοδήποτε μέρος βολικό για εσάς, ένας οδηγός για αρχάριους είναι εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Προσοχή!
Για να λάβετε εγγυημένη βοήθεια για την αποκρυπτογράφηση των αρχείων σας, επικοινωνήστε μόνο με τις επαφές που αναφέρονται σε αυτήν τη σημείωση, επειδή αυτή τη στιγμή υπάρχουν πολλοί απατεώνες που,
με το πρόσχημα ότι μπορούν να αποκρυπτογραφήσουν τα δεδομένα σας, να ζητήσουν δωρεάν αποκρυπτογράφηση μέσω εμάς και να το περάσουν ως απόδειξη ότι μπορούν να αποκρυπτογραφήσουν τα αρχεία σας.
Θυμηθείτε ότι το κλειδί για την αποκρυπτογράφηση αρχείων είναι ατομικό σε κάθε μεμονωμένη περίπτωση, επομένως δεν θα μπορείτε να αποκρυπτογραφήσετε τα αρχεία σας μόνοι σας χρησιμοποιώντας λογισμικό τρίτου κατασκευαστή, αλλά μόνο θα χαλάσει τα αρχεία σας.
Εάν θέλετε να επικοινωνήσετε μέσω μεσάζοντα, ελέγξτε την τιμή με τον πάροχο εκ των προτέρων, καθώς οι μεσάζοντες συχνά ολοκληρώνουν την πραγματική τιμή. !!! Όταν επικοινωνείτε με τρίτα μέρη,
δεν εγγυόμαστε την αποκρυπτογράφηση των αρχείων σας!!!
Επίσης, για να αποφύγετε προβλήματα με την αποκρυπτογράφηση, μην μετονομάσετε τα αρχεία σας.

Τι είναι η οικογένεια κλώνων Phobos Ransomware;

Η οικογένεια ransomware Phobos αποτελείται από μια ομάδα παραλλαγών ransomware που μοιράζονται παρόμοια χαρακτηριστικά και μεθόδους λειτουργίας. Αυτές οι παραλλαγές αναφέρονται συχνά ως "κλώνοι" επειδή πιστεύεται ότι προέρχονται από τον ίδιο αρχικό πηγαίο κώδικα ή μοιράζονται ένα κοινό πλαίσιο. Η οικογένεια ransomware Phobos είναι γνωστή για την κρυπτογράφηση των αρχείων των θυμάτων και την απαίτηση λύτρων για την αποκρυπτογράφηση τους.

Οι παραλλαγές ransomware Phobos παρουσιάζουν συνήθως τα ακόλουθα χαρακτηριστικά:

• Κρυπτογράφηση αρχείων: Όπως τα περισσότερα ransomware, οι παραλλαγές του Phobos κρυπτογραφούν τα αρχεία των θυμάτων χρησιμοποιώντας ισχυρούς αλγόριθμους κρυπτογράφησης, καθιστώντας τα αρχεία απρόσιτα χωρίς κλειδί αποκρυπτογράφησης.
• Σημειώσεις Ransom: Το Phobos ransomware δημιουργεί σημειώσεις λύτρων που ενημερώνουν τα θύματα για την κρυπτογράφηση και παρέχουν οδηγίες σχετικά με τον τρόπο πληρωμής των λύτρων για την απόκτηση του κλειδιού αποκρυπτογράφησης.
• Επαφές ηλεκτρονικού ταχυδρομείου: Οι σημειώσεις λύτρων περιλαμβάνουν συνήθως διευθύνσεις ηλεκτρονικού ταχυδρομείου που μπορούν να χρησιμοποιήσουν τα θύματα για να επικοινωνήσουν με τους εισβολείς για περαιτέρω οδηγίες σχετικά με την πληρωμή και την αποκρυπτογράφηση.
• Μοναδικές επεκτάσεις: Οι παραλλαγές του Phobos συχνά προσαρτούν μοναδικές επεκτάσεις σε κρυπτογραφημένα αρχεία, καθιστώντας τα εύκολα αναγνωρίσιμα. Αυτές οι επεκτάσεις είναι συνήθως ένας συνδυασμός τυχαίων χαρακτήρων ή αναγνωριστικών.
• Πληρωμές Bitcoin: Οι απαιτήσεις για λύτρα συνήθως ζητούνται σε κρυπτονομίσματα, ιδιαίτερα στο Bitcoin, λόγω της ψευδώνυμης φύσης του που καθιστά πιο δύσκολο τον εντοπισμό του.
• Μεταβλητότητα στα ποσά λύτρων: Διαφορετικές παραλλαγές του ransomware Phobos ενδέχεται να έχουν ποικίλα ποσά λύτρων, συχνά ανάλογα με παράγοντες όπως το προφίλ του θύματος και το πόσο γρήγορα έρχονται σε επαφή με τους εισβολείς.
• Στοχευμένη διανομή: Το ransomware Phobos διανέμεται συνήθως μέσω email ηλεκτρονικού ψαρέματος, κακόβουλων συνημμένων, κιτ εκμετάλλευσης και άλλων μεθόδων που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου για τη διάδοση κακόβουλου λογισμικού.
• Παρόμοια βάση κώδικα: Οι παραλλαγές του Phobos μοιράζονται ομοιότητες στον κώδικα και τη συμπεριφορά, υποδηλώνοντας μια κοινή πηγή ή πλαίσιο που οι επιτιθέμενοι έχουν τροποποιήσει για να δημιουργήσουν διαφορετικές εκδόσεις.

Είναι σημαντικό να σημειωθεί ότι ενώ οι παραλλαγές του Phobos μοιράζονται ομοιότητες, μπορούν επίσης να εξελιχθούν με την πάροδο του χρόνου με νέα χαρακτηριστικά, τακτικές και τεχνικές. Όπως συμβαίνει με κάθε ransomware, η καλύτερη άμυνα ενάντια στο Phobos και τις παραλλαγές του είναι ένας συνδυασμός ισχυρών πρακτικών ασφάλειας στον κυβερνοχώρο, τακτικών αντιγράφων ασφαλείας δεδομένων, ενημέρωσης του λογισμικού και διατήρησης μιας προσεκτικής προσέγγισης στα συνημμένα email και τους συνδέσμους.