Phobos là một hoạt động tống tiền dạng dịch vụ (ransomware-as-a-service) được triển khai vào tháng 12 năm 2018, cho phép các tác nhân đe dọa khác tham gia với tư cách là chi nhánh thành viên và sử dụng công cụ mã hóa của chúng trong các cuộc tấn công. Đổi lại, mọi khoản tiền chuộc sẽ được chia đều giữa chi nhánh và người điều hành.

Mặc dù hoạt động tống tiền này không nhận được nhiều sự chú ý của truyền thông như các hoạt động tống tiền khác, nhưng Phobos được coi là một trong những hoạt động tống tiền được phân phối rộng rãi nhất, chịu trách nhiệm cho nhiều cuộc tấn công vào các doanh nghiệp trên toàn thế giới.

Năm 2023, một nhóm chi nhánh đã triển khai hoạt động tống tiền 8-Base sử dụng bộ mã hóa Phobos đã được sửa đổi. Không giống như các chi nhánh khác, nhóm này tham gia vào hoạt động tống tiền kép, mã hóa các tệp và đánh cắp dữ liệu, đe dọa sẽ giải phóng dữ liệu nếu tiền chuộc không được trả.

Năm 2024, một công dân Nga bị tình nghi là quản trị viên của chiến dịch mã độc tống tiền Phobos đã bị dẫn độ từ Hàn Quốc sang Hoa Kỳ để đối mặt với cáo buộc gồm 13 tội danh.

Năm nay, chiến dịch Phobos đã bị gián đoạn nghiêm trọng, vì một chiến dịch phối hợp của lực lượng thực thi pháp luật quốc tế đã phá hủy và thu giữ 27 máy chủ. Trong khuôn khổ chiến dịch này, bốn công dân Nga bị tình nghi cầm đầu nhóm mã độc tống tiền 8Base đã bị bắt giữ.

Bộ giải mã Phobos miễn phí

Cảnh sát Nhật Bản hiện đã phát hành một bộ giải mã miễn phí cho các tổ chức và cá nhân có tệp tin bị mã hóa bởi các hoạt động mã độc tống tiền Phobos và 8Base.

Mặc dù chưa rõ cảnh sát Nhật Bản đã tạo ra bộ giải mã bằng cách nào, nhưng người ta tin rằng điều này có thể thực hiện được nhờ thông tin thu thập được trong chiến dịch phá vỡ băng nhóm mã độc tống tiền năm nay.

Bộ giải mã có thể được tải xuống từ trang web của cảnh sát Nhật Bản, với hướng dẫn được chia sẻ bằng tiếng Anh. Bộ giải mã cũng có sẵn trên nền tảng NoMoreRansom của cảnh sát châu Âu (Europol) và đang được Europol và Cục điều tra liên bang Mỹ (FBI) quảng bá để chứng minh tính xác thực của nó.

Cần lưu ý rằng các trình duyệt web, bao gồm Google Chrome và Mozilla Firefox, đang phát hiện trình giải mã là phần mềm độc hại, gây khó khăn cho việc tải xuống và sử dụng. Tuy nhiên, các chuyên gia của BleepingComputer đã thử nghiệm trình giải mã và nó không chỉ không độc hại mà còn giải mã thành công các tệp được mã hóa từ các trình mã hóa gần đây.

Trình giải mã hiện hỗ trợ các tệp được mã hóa với các phần mở rộng sau: ".phobos", ".8base", ".elbie", ".faust" và ".LIZARD".

Tuy nhiên, cảnh sát Nhật Bản cho biết, một số phần mở rộng khác có thể được hỗ trợ, vì vậy bạn nên thử nghiệm trình giải mã ngay cả khi tệp dữ liệu của mình không có các phần mở rộng được liệt kê.

Trong thử nghiệm, BleepingComputer đã lây nhiễm một máy ảo bằng biến thể của mã độc tống tiền Phobos gần đây, biến thể này thêm phần mở rộng .LIZARD vào tên tệp được mã hóa, như được hiển thị bên dưới.

Để giải mã tệp, hãy khởi chạy trình giải mã và đồng ý với thỏa thuận cấp phép của trình giải mã. Nếu Windows không được cấu hình để hỗ trợ tên tệp dài, trình giải mã sẽ nhắc bạn cho phép bật cài đặt này và sau đó yêu cầu bạn khởi chạy lại trình giải mã.

Sau khi khởi chạy, bạn có thể chỉ định đường dẫn đến các tệp đã mã hóa và sau đó chọn thư mục đầu ra nơi các tệp đã giải mã sẽ được tạo. Khi đã sẵn sàng, hãy nhấp vào nút Giải mã và trình giải mã sẽ cố gắng khôi phục các tệp của bạn vào thư mục đã chọn.

Lưu ý rằng bạn có thể chọn thư mục gốc của ổ đĩa và trình giải mã sẽ giải mã đệ quy các tệp, tạo lại cùng một cấu trúc thư mục trong thư mục đích. Sau khi hoàn tất, trình giải mã sẽ hiển thị số lượng tệp đã được giải mã thành công.

BleepingComputer có thể xác nhận rằng, trình giải mã đã giải mã thành công tất cả 150 tệp bị mã hóa bởi biến thể LIZARD của mã độc tống tiền Phobos.

Nạn nhân của mã độc tống tiền Phobos và 8Base nên thử trình giải mã này, ngay cả khi các tệp bị mã hóa của họ không có một trong các phần mở rộng được liệt kê, vì nó vẫn có thể hoạt động.

Hà Linh