Análise profunda na variante EKING do Ransomware Phobos

A família de ransomware Phobos é bastante recente, tendo sido detectada pela primeira vez por pesquisadores de segurança no início de 2019. Mas, desde então, ela continuou a lançar novas variantes que não apenas evoluem métodos de ataque, mas também alteram frequentemente o nome de extensão de arquivos criptografados em variantes anteriores.

 Relatório de Ameaça do FortiGuard Labs

Plataformas afetadas: Microsoft Windows
Partes afetadas: Usuários do Windows
Impacto: criptografa os arquivos das vítimas para resgate
Nível de gravidade: Crítico

E em sua curta história, suas vítimas sempre reclamaram que foram enganadas pelo atacante de Phobos por não restaurar arquivos.

Duas semanas atrás, o FortiGuard Labs capturou uma nova amostra de ameaça na selva. Era um documento do Microsoft Word com uma macro maliciosa projetada para espalhar a variante EKING do Phobos. Fiz uma análise profunda dessa amostra e, nesta postagem de análise, mostrarei como essa variante infecta o sistema da vítima e como verifica e criptografa arquivos usando um algoritmo AES no dispositivo da vítima, bem como pastas de rede compartilhadas.

Abrindo a amostra capturada no MS Office Word

Após abrir o documento do Word, ele exibe um aviso que direciona a vítima a clicar no botão “Habilitar Conteúdo” na barra amarela para habilitar Macros, conforme mostrado na Figura 1.1.

Como as macros podem conter código malicioso, o MS Office Word exibe, por padrão, um Aviso de segurança que avisa os usuários de que o documento pode ser perigoso. O usuário pode então decidir se deseja ou não executar a Macro (clicando no botão “Habilitar Conteúdo”).Figura 1.1.  Amostra de conteúdo em MS Office WordFigura 1.1. Amostra de conteúdo em MS Office Word

No entanto, a tela de aviso do documento é um ardil. Examinando o código da macro, descobri que ela possui uma função de evento embutida chamada Document_Close (), que é chamada automaticamente quando o MS Office Word é encerrado. Em outras palavras, o código de macro malicioso é executado quando a vítima fecha o documento. Isso também tem o benefício de contornar a detecção por algumas soluções de sandbox (o FortiSandbox detecta este anexo Word malicioso como riskware.)

O código da Macro é simples e claro. Ele extrai um bloco codificado em base64 da amostra aberta em um arquivo local em “C: \ Users \ Public \ Ksh1.xls”. Em seguida, ele decodifica o arquivo em outro arquivo chamando o comando “ Certutil -decode C: \ Users \ Public \ Ksh1.xls C: \ Users \ Public \ Ksh1.pdf ”. “Ksh1.pdf” é um arquivo decodificado em base64, que é um arquivo PE (arquivo DLL). A Figura 1.2  é uma captura de tela do código de macro, mostrando onde está prestes a executar um comando para decodificar em base64 o arquivo “Ksh1.xls” em “Ksh1.pdf”.Figura 1.2.  Macro para decodificar arquivo extraído em base64Figura 1.2. Macro para decodificar arquivo extraído em base64

A tarefa final da Macro é executar o arquivo PE decodificado “Ksh1.pdf” executando o comando “ Rundll32 C: \ Users \ Public \ Ksh1.pdf, In ”. O arquivo PE decodificado “Ksh1.pdf” é um arquivo DLL com função de exportação “ In ” que é chamado por “Rundll32.exe” na linha de comando acima.Figura 1.3.  Código ASM da função de exportação emFigura 1.3. Código ASM da função de exportação em

A Figura 1.3 mostra o código ASM da função de exportação “In” de “Ksh1.pdf”. A partir de meus comentários inseridos ao lado do código ASM, pode-se entender facilmente que ele primeiro cria um novo diretório em “C: \ Users \ Public \ cs5”. Em seguida, ele baixa um arquivo da URL “hxxp: // 178 [.] 62 [.] 19 [.] 66 / campo / v / v” no arquivo “C: \ Usuários \ Público \ cs5 \ cs5.exe” por chamando a API “URLDownloadToFile ()”. E, finalmente, ele executa o arquivo “cs5.exe” baixado chamando a API “CreateProcessA ()”. A propósito, a string do URL de download e a string do caminho completo do arquivo são codificados no arquivo DLL “Ksh1.pdf”. Curiosamente, o arquivo baixado “cs5.exe” é o arquivo de carga útil do Phobos.

Olhando para o arquivo EXE de carga útil

“C: \ Users \ Public \ cs5 \ cs5.exe” é a carga útil da variante EKING de Phobos, que foi protegida por um empacotador desconhecido, conforme mostrado em Exeinfo PE na Figura 2.1.Figura 2.1.  Arquivo EXE de carga útil Phobos protegidoFigura 2.1. Arquivo EXE de carga útil Phobos protegido

Phobos tem um bloco de configuração criptografado AES que contém muitas informações de configuração (69 itens nesta variante). Eles são descriptografados em uma função antes de serem usados ​​com um argumento de número de índice. Ele também contém a nova string de extensão para arquivos criptografados, dados para gerar a chave para criptografar arquivos, uma lista de exclusão de arquivos, informações de versão de Phobos, informações de resgate para a vítima e assim por diante. 

Na Figura 2.2 podemos ver um exemplo de descriptografia da nova extensão para arquivos criptografados “.id [<<ID>> -2987]. [Wiruxa@airmail.cc] .eking”, cujo número de índice é 0x04. De acordo com uma string descriptografada “[<<ID>> -2987] v2.9.1”, cujo número de índice é 0x33, sabemos que a versão desta variante é v2.9.1.Figura 2.2.  Descriptografando uma nova extensão do bloco de configuraçãoFigura 2.2. Descriptografando uma nova extensão do bloco de configuração

Inicie um segundo processo e execute dois grupos de comandos

Quando “cs5.exe” é executado, ele cria um segundo processo de si mesmo chamando a API CreateProcessWithTokenW (), junto com um token do processo Explorer.exe para que o segundo processo seja executado no contexto de segurança do token Explorer.exe. Desta forma, ele tem o privilégio necessário para ler e gravar mais arquivos no sistema da vítima. 

Phobos executa dois grupos de comandos em dois threads criados.

O primeiro grupo de comandos está listado abaixo com meus comentários adicionados:

vssadmin delete shadow / all / quiet    – Exclui todas as cópias de sombra do volume.
wmic shadowcopy delete   – Exclui cópias de sombra do computador local.
bcdedit / set {default} bootstatuspolicy ignoreallfailures 
bcdedit / set {default} recoveryenabled no
  – Desabilita o recurso de reparo de inicialização automática.
wbadmin delete catalog –quiet   – Exclui o catálogo de backup.
Saída

Ao excluir as cópias de sombra que o sistema Windows faz para a restauração do sistema, a vítima não é capaz de usá-las para restaurar os arquivos criptografados. Também evita que a vítima restaure arquivos de um reparo de inicialização automática ou de um catálogo de backup.

Os comandos do segundo grupo desligam o Firewall do Windows no sistema infectado, conforme mostrado abaixo.

netsh advfirewall set currentprofile state off   – Para Windows 7 e versões posteriores.
netsh firewall set opmode mode = disable   – Para versões do Windows XP e Windows 2003.
Saída

Adicionar itens de execução automática 

O malware também descriptografa a string “Software \ Microsoft \ Windows \ CurrentVersion \ Run” (o número do índice é 0x11), que é o caminho da subchave do registro, do bloco de configuração criptografado. Em seguida, ele cria um item de execução automática “cs5” para a mesma subchave de ambas as chaves raiz, HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER. A Figura 4.1 é uma captura de tela do item de execução automática adicionado sob a chave raiz “HKEY_CURRENT_USER”.Figura 4.1.  Adicionado item de execução automática “cs5”Figura 4.1. Adicionado item de execução automática “cs5”

Além de adicionar este item ao grupo de execução automática no registro do sistema, ele também copia “cs5.exe” em duas pastas de inicialização automática: “% AppData% \ Microsoft \ Windows \ Menu Iniciar \ Programas \ Inicializar” e “% ProgramData % \ Microsoft \ Windows \ Menu Iniciar \ Programas \ Inicializar ”. A Figura 4.2 mostra o trecho de código ASM copiando “cs5.exe” para as duas pastas de inicialização.Figura 4.2.  Copie o arquivo de carga útil para as pastas de inicializaçãoFigura 4.2. Copie o arquivo de carga útil para as pastas de inicialização

Os arquivos executáveis ​​nessas duas pastas são executados automaticamente pelo sistema Windows quando o Windows é iniciado. Isso significa que quatro arquivos “cs5.exe” serão iniciados pelo Windows na inicialização para manter a sobrevivência do malware. Você não precisa se preocupar com o conflito. Phobos tem um mecanismo que usa um objeto Mutex para garantir que apenas um processo esteja em execução. Os outros processos “cs5.exe” são encerrados se o mesmo objeto Mutex existir.

Tarefas básicas que Phobos executa no sistema de uma vítima

Para ransomware, a tarefa principal é criptografar os arquivos da vítima e, em seguida, exigir um resgate para descriptografar esses arquivos criptografados. Nesta seção, mostrarei como a variante EKING de Phobos realiza essa tarefa.

Para aumentar seu desempenho, ele cria uma série de threads para verificar e criptografar arquivos no sistema da vítima. Além disso, ele usa um grande número de objetos Event para controlar e sincronizar o progresso dessas threads.

1. Thread para encerrar processos

Ele começa iniciando um encadeamento para evitar o encerramento de processos especificados de uma lista de nomes que contém quarenta e um nomes de processos mostrados, conforme abaixo. Como você pode imaginar, a lista de nomes também foi descriptografada do bloco de configuração com o número de índice 0x0a.

msftesql.exe; sqlagent.exe; sqlbrowser.exe; sqlservr.exe; sqlwriter.exe; oracle.exe; ocssd.exe; dbsnmp.exe; synctime.exe; agntsvc.exe; mydesktopqos.exe; isqlplussvc.exe; xfssvccon. exe; mydesktopservice.exe; ocautoupds.exe; agntsvc.exe; agntsvc.exe; agntsvc.exe; encsvc.exe; firefoxconfig.exe; tbirdconfig.exe; ocomm.exe; mysqld.exe; mysqld-nt.exe; mysqld- opt.exe; dbeng50.exe; sqbcoreservice.exe; excel.exe; infopath.exe; msaccess.exe; mspub.exe; onenote.exe; outlook.exe; powerpnt.exe; steam.exe; thebat.exe; thebat64. exe; thunderbird.exe; visio.exe; winword.exe; wordpad.exe

Esta lista de nomes de processo foi vista muitas vezes sendo usada por outras famílias de Ransomware para fazer a mesma ação.

Esses processos pertencem a produtos como MS SQL Server, banco de dados Oracle, VMware, Panda Security, MySql, FireFox, SQL Anywhere, RedGate SQL Backup, MS Excel, MS Word, MS Access, MS PowerPoint, MS Publisher, MS OneNote, MS Outlook, The Bat !, Thunderbird, WordPad e assim por diante.

O Phobos continua encerrando esses aplicativos para forçá-los a liberar todos os arquivos abertos no momento, para que o Phobos possa criptografá-los.

2. Threads para escanear arquivos para criptografar

A função thread desta thread chama a API GetLogicalDrives () para obter e enumerar todas as unidades lógicas no sistema da vítima, como “C: \”, “D: \”, “E: \” e assim por diante. Em seguida, ele cria dois threads de varredura para cada unidade lógica. Isso significa que os arquivos em cada unidade lógica são tratados por dois threads.Figura 5.1.  Ignorar duas pastas do sistemaFigura 5.1. Ignorar duas pastas do sistema

Para evitar a destruição do sistema Windows da vítima, ele ignora a criptografia de arquivos em duas pastas do sistema e suas subpastas, que são “% WinDir%” (geralmente “C: \ Windows”) e “% ProgramData% \ Microsoft \ Windows \ Caches” . A Figura 5.1 mostra que Phobos é capaz de detectar se um caminho atual (“\\? \ D:”) corresponde às duas pastas do sistema que ele precisa ignorar.

Conforme mencionado, ele cria dois threads para verificar os arquivos de cada unidade lógica. Um thread é para verificação normal (um arquivo por arquivo) e o outro é uma verificação especial apenas para arquivos relacionados ao banco de dados. Posso supor que esses tipos de arquivos têm mais valor para a vítima do que os outros. Em seguida, verifica os arquivos de banco de dados pelas seguintes extensões, listadas abaixo (o número do índice de descriptografia é 0x06):

fdb; sql; 4dd; 4dl; abs; abx; accdb; accdc; accde; adb; adf; ckp; db; db-journal;
db-shm; db-wal; db2; db3; dbc; dbf; dbs; dbt; dbv; dcb; dp1; eco; edb; epim; fcd; gdb;
mdb; mdf; ldf; myd; ndf; nwdb; nyf; sqlitedb; sqlite3; sqlite;

Além disso, também possui duas listas de exclusão de ramais. Um contém as extensões de arquivo criptografadas que Phobos usou em seu histórico, conforme listado abaixo (o número do índice de descriptografia é 0x07):

eking; actina; Acton; ator; Acuff; Acuna; agudo; adágio; Adair; Adame; banhu; banjo; Bancos; Banta; Barak; Caleb; Cales; Caley; calix; Calle; Calum; Calvo; deuce; Dever; demônio; Devoe; Devon; Devos; dewar; oito; ejetar; Elbie; cotovelo; ancião; fobos; ajudar; misturar; bqux; com; mamba; KARLOS; DDoS; fênix; PLUT; karma; bbc; CAPITAL; CARTEIRA;

A outra lista contém arquivos que esta variante usa para mostrar à vítima as informações de resgate, bem como alguns arquivos de sistema do Windows, conforme listado abaixo (o número do índice de descriptografia é 0x08):

info.hta; info.txt; boot.ini; bootfont.bin; ntldr; ntdetect.com; io.sys; osen.txt

Ambas as listas de exclusão são usadas pelo encadeamento de varredura em uma função de retorno de chamada para filtrar arquivos a criptografar de acordo com suas regras. Enquanto isso, o Phobos também cria um thread de criptografia em cada thread de varredura para criptografar os arquivos da vítima. Aqui está como o thread de varredura e o thread de criptografia funcionam juntos: O thread de varredura continua varrendo os arquivos e copiando o nome do arquivo com o caminho completo para um buffer comum e um evento é definido quando um arquivo é selecionado. O thread de criptografia pode obter o nome do arquivo do buffer comum e criptografar.

3. Algoritmo de criptografia e principais usos de Phobos

Pbobos usa o modo CBC (Cipher Block Chaining) AES ( Advanced Encryption Standard ) como seu algoritmo de criptografia para criptografar arquivos. Em minha análise, esta variante do Phobos não usa as APIs de criptografia internas para AES que o Windows fornece, mas implementa sua própria função AES.

Como você deve saber, quando as pessoas falam sobre criptografia e descriptografia AES CBC, “IV” e “Chave” são freqüentemente mencionados. 

Por seu comprimento de chave, sabemos que Phobos usa uma chave AES de 256 bits (20H bytes), que é a criptografia de arquivo mais forte. Além disso, ele usa um criptossistema de chave pública-privada assimétrica para proteger a chave AES. A chave pública é descriptografada do bloco de configuração com o número de índice 0x2.  Figura 5.2 Chave AES e sua chave pública criptografadaFigura 5.2 Chave AES e sua chave pública criptografada

A chave AES é gerada usando 10H bytes de dados aleatórios e 10H bytes de dados da chave pública descriptografada. Como você pode ver na Figura 5.2, ele acabou de gerar sua chave AES (20H bytes) no topo da janela de memória. As informações subsequentes são os dados relacionados da chave AES criptografada (80H bytes) que são gerados com os dados do número de série do volume de “% systemdrive%” (como “C: \” no sistema da vítima) e a chave pública, bem como alguns valores constantes descriptografados na função Sub_401706. Os últimos quatro bytes após a chave AES criptografada são um valor hash CRC32 das duas partes acima. 

Desde que a vítima forneça os dados do número de série do volume da unidade do sistema que é obtido pela API GetVolumeInformationW () em Phobos, a chave AES criptografada e outros valores constantes, o invasor pode usar sua chave privada para restaurar a chave AES. A chave AES criptografada será gravada no arquivo criptografado, explicarei a estrutura do arquivo criptografado mais tarde. É por isso que pede à vítima que forneça o número de série do volume da unidade do sistema na página de informações de resgate.

Os dados IV (vetor de inicialização) têm 10 bytes de comprimento e geralmente são gerados aleatoriamente. Ele também é gravado nos arquivos criptografados, como a chave AES criptografada. Um IV é usado junto com a chave AES para criptografia de dados, assim como um salt para um algoritmo MD5.

Depois que os dados IV e a chave AES são obtidos, ele pode descriptografar os arquivos criptografados.

4. Thread para criptografar arquivos

Como mencionei acima, este é o encadeamento de criptografia iniciado pelo encadeamento de varredura. Depois que o thread de varredura seleciona um arquivo, ele copia o caminho completo do arquivo para um buffer comum para o thread de criptografia, que é notificado pelo thread de varredura (configurando um objeto de evento). 

Em seguida, ele descriptografa uma string de formato (número de índice 0x04) do bloco de configuração como uma nova extensão de arquivo para esses arquivos criptografados, como visto abaixo, onde “<<ID>>” será substituído pelo número de série do volume da unidade do sistema.

.id [<<ID>> -2987]. [wiruxa@airmail.cc] .ekingFigura 5.3 Arquivo criptografado com nova extensãoFigura 5.3 Arquivo criptografado com nova extensão

Este é apenas um novo nome de arquivo formatado para o arquivo criptografado com a nova extensão. Desta vez, o arquivo selecionado e filtrado por um thread de varredura é “\\? \ E: \ test_file.txt” e o nome do arquivo criptografado para ele é “\\? \ E: \ test_file.txt.id [[581F1093- 2987]. [Wiruxa@airmail.cc] .eking ”.

Ele continua a ler o conteúdo do arquivo selecionado (por exemplo: “E: \ test_file.txt”). Sabemos que o tamanho do bloco de criptografia AES é fixado em 10 bytes. Assim, se o tamanho dos dados a serem criptografados não estiver alinhado a 10H, ele precisa anexar os dados usando preenchimento (Phobos usa “00” como preenchimento) para corrigir o problema. Figura 5.4 Chamando a função AES_CBC_Encrypt () para criptografar o conteúdo do arquivoFigura 5.4 Chamando a função AES_CBC_Encrypt () para criptografar o conteúdo do arquivo

A Figura 5.4 mostra que Phobos está prestes a chamar a função AES_CBC_Encrypt (), cujo arg0 é um objeto chave (AES_CTX Struct) contendo o IV e a Chave usada para criptografar o conteúdo do arquivo mostrado na janela de memória (com três elementos de preenchimento “00” anexados para ele).

Após a criptografia, Phobos salva o texto cifrado no arquivo criptografado (por exemplo, “E: \ test_file.txt.id [[581F1093-2987]. [Wiruxa@airmail.cc] .eking”) chamando a API WriteFile (), conforme mostrado na Figura 5.5.Figura 5.5 Salvando texto cifrado em um arquivo criptografadoFigura 5.5 Salvando texto cifrado em um arquivo criptografado

O conteúdo do arquivo criptografado consiste em duas partes. A primeira parte é o  texto cifrado do  conteúdo do arquivo original. A segunda parte é um grupo de dados, que chamo de decryption_config_block. É usado para descriptografar a primeira parte. A Figura 5.6 é uma captura de tela do conteúdo do arquivo criptografado. Vou explicar o que o decryption_config_block contém.Figura 5.6 Exemplo do conteúdo do arquivo criptografadoFigura 5.6 Exemplo do conteúdo do arquivo criptografado

Os primeiros 10 H bytes (circundados por vermelho) são o conteúdo do arquivo original criptografado – o mesmo mostrado na Figura 5.5. Os bytes de 40H (circundados por azul) são um bloco criptografado que contém alguns valores constantes, bem como o nome do arquivo original, que são criptografados usando a mesma chave AES e IV. Os seguintes 14H bytes “00” podem ser considerados um delimitador de dados. Os 10H bytes (cercados por preto) são os dados IV apenas para este arquivo. O próximo Dword 0x03 informa o tamanho do preenchimento anexado ao conteúdo do arquivo original (consulte a Figura 5.5 novamente). O bloco de dados 80H (em verde) são os dados relacionados à chave AES criptografada, que é gerada no encadeamento de varredura e é diferente para diferentes encadeamentos de varredura. O próximo Dword 0xF2 é o tamanho de todo o decryption_config_block.

Depois disso, a última coisa que Phobos faz é chamar a API DeleteFileW () para limpar o arquivo original do sistema da vítima.

5. Verificar recursos de compartilhamento de rede

Esta função de thread se concentra em recursos de compartilhamento de rede. Phobos chama a API WNetOpenEnum () muitas vezes usando valores diferentes do argumento dwScope. São RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED e RESOURCE_GLOBALNET.  

RESOURCE_CONNECTED: Enumera todos os recursos atualmente conectados.
RESOURCE_RECENT: Enumera todos os recursos conectados recentemente.
RESOURCE_CONTEXT: Enumera apenas os recursos no contexto de rede do chamador.
RESOURCE_REMEMBERED: Enumera todas as conexões lembradas (persistentes).
RESOURCE_GLOBALNET: Enumera todos os recursos da rede.

API WNetOpenEnumW () e WNetEnumResourceW () estão envolvidos neste trabalho para enumerar recursos de compartilhamento de rede. 

Uma vez que um recurso é obtido com sucesso, Phobos inicia os dois threads de varredura que discuti no ponto  2 , acima, com o endereço completo do recurso, como \\? \ UNC \ {nome do recurso} \ {nome da pasta}, para iniciar o escaneie e filtre arquivos nele. O encadeamento de varredura então inicia o encadeamento de criptografia e é percebido que criptografa quando um arquivo é selecionado, como expliquei no ponto  4 .Figura 5.7 Um recurso de compartilhamento pronto para iniciar o thread de verificaçãoFigura 5.7 Um recurso de compartilhamento pronto para iniciar o thread de verificação

A Figura 5.7, acima, mostra um recurso de compartilhamento (“\\? \ UNC \ VBoxSvr \ vbox_share_folder”) que é obtido de RESOURCE_CONNECTED e está prestes a chamar a função Sub_405840 para iniciar um novo thread de varredura neste recurso de compartilhamento.

6. Encadeamento para monitorar e verificar novas unidades lógicas

Já falei sobre a varredura de arquivos do Phobos em unidades lógicas locais e a varredura de recursos de compartilhamento de rede, que são todas as fontes existentes para o sistema da vítima. 

Existe outro segmento, cuja principal tarefa é monitorar novas unidades lógicas. Por exemplo, a vítima conecta uma unidade flash USB ou um telefone celular, que o sistema Windows trata como uma nova unidade lógica. Isso será capturado por este tópico. Ele executa a detecção a cada segundo e inicia dois novos threads de varredura para qualquer nova unidade lógica que detectar. A Figura 5.8 exibe um pseudocódigo mostrando a estrutura lógica para esta função de thread.Figura 5.8 Pseudo código para escanear uma nova unidade lógicaFigura 5.8 Pseudo código para escanear uma nova unidade lógica

Exibindo informações de resgate para a vítima

O thread principal do Phobos espera que todos os threads de varredura e de criptografia concluam seu trabalho. Em seguida, ele coloca dois arquivos, info.hta (informações de resgate da versão em html) e info.txt (informações de resgate da versão em texto), na área de trabalho, bem como no diretório raiz de unidades lógicas disponíveis no sistema da vítima. Ele também chama a API ShellExecuteExW () com o comando “open” para abrir o html versão info.hta na tela da vítima, conforme mostrado na Figura 6.1.Figura 6.1 Informações de resgate exibidas para a vítimaFigura 6.1 Informações de resgate exibidas para a vítima

Conclusão sobre a análise profunda da variante EKING

Neste post, forneci uma análise profunda da variante EKING do ransomware Phobos. Apresentei como o arquivo de carga útil (cs5.exe) é baixado da amostra de documento original do MS Word e o que o Phobos faz para mantê-lo persistente no sistema da vítima.

Eu analisei principalmente a tarefa principal de Phobos – a varredura e criptografia de arquivos no sistema da vítima. Por meio desta postagem, sabemos agora que ele não apenas verifica arquivos que não estão em unidades lógicas, mas também recursos de compartilhamento de rede e novas unidades lógicas anexadas. Também elaborei como essa variante de Phobos usa vários tópicos para terminar seu trabalho.  

Finalmente, expliquei como Phobos exibe suas informações de resgate para a vítima quando a criptografia é concluída.

Para proteger o seu dispositivo contra ataques de malware, recomendamos não abrir anexos de e-mail de fontes não confiáveis. 

Fortinet Solutions

Os clientes Fortinet já estão protegidos desta variante do Phobos com os serviços FortiGuard Web Filtering, AntiVirus e CDR (desarmamento e reconstrução de conteúdo), como segue:

O URL de download é classificado como ” Sites Maliciosos ” pelo serviço FortiGuard Web Filtering.

O documento do Word e o arquivo de carga baixado são detectados como ” VBA / Agent.KBU! Tr ” e ” W32 / Phobos.HGAF! Tr.ransom ” e bloqueados pelo serviço FortiGuard AntiVirus.

Além disso, o FortiSandbox detecta o documento do Word como riskware.

Os usuários do FortiMail são protegidos pelo FortiGuard AntiVirus, que detecta o documento original do Word que está entregando o Phobos, e ainda mais protegido com o serviço CDR que pode ser usado para neutralizar a ameaça de todas as macros nos documentos do Office.

Além disso, para proteger os dispositivos de serem atacados por malware distribuído dessa forma, recomendamos que os usuários não abram anexos de e-mail de fontes não confiáveis. O treinamento do usuário final sobre como identificar e sinalizar e-mail potencialmente malicioso também é altamente recomendado.

IOCs:

URLs

hxxp: // 178 [.] 62 [.] 19 [.] 66 / campo / v / v

Amostra SHA-256

[Documento do Word]

667F88E8DCD4A15529ED02BB20DA6AE2E5B195717EB630B20B9732C8573C4E83

[Payload Phobos]

6E9C9B72D1BDB993184C7AA05D961E706A57B3BECF151CA4F883A80A07FDD955

Referências:

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Saiba mais sobre a   pesquisa de ameaças do FortiGuard Labs e o portfólio de assinaturas e serviços de segurança do FortiGuard  . Inscreva-se  para receber o Resumo de ameaças semanais do FortiGuard Labs. 

Fonte: https://www.fortinet.com/blog/threat-research/deep-analysis-the-eking-variant-of-phobos-ransomware