[19/2025] Publikacja dekryptora Phobos
W lutym 2025 roku Europol poinformował o rozbiciu grupy ransomware Phobos/8Base, aktywnej od 2018 roku. W wyniku działań służb doszło do przejęcia infrastruktury oraz zatrzymania kilku osób.
Efektem tych działań jest opublikowanie w ostatnim tygodniu narzędzia deszyfrującego, opracowanego przez japońską policję. Narzędzie umożliwia odzyskanie plików zaszyfrowanych przez ransomware z rodziny Phobos.
Dekryptor wraz ze szczegółową instrukcją obsługi został opublikowany na stronie projektu No More Ransom: https://www.nomoreransom.org/en/decryption-tools.html#Phobos
Zespół CERT Polska przeprowadził weryfikację narzędzia i potwierdza jego skuteczność w znaczącej większości przypadków, na podstawie zaszyfrowanych próbek, które zespół otrzymał w zgłoszeniach incydentów.
Zgodnie z informacjami zawartymi w instrukcji, pliki kwalifikujące się do odszyfrowania charakteryzują się następującym schematem nazewnictwa:
{nazwa pliku}.id[{8 znaków}–{4 cyfry}].[{adres email}].{rozszerzenie pliku}
Autorzy narzędzia wskazują, że dekryptor obsługuje między innymi pliki z rozszerzeniami: .phobos, .8base, .elbie, .faust oraz .LIZARD.
Zespół CERT Polska potwierdził dodatkowo skuteczność dekryptora w przypadku plików z rozszerzeniami: .mango, .Devos oraz .eking.
Warto przetestować narzędzie nawet wtedy, gdy nazwa pliku nie odpowiada dokładnie powyższemu schematowi.
Podczas testów prowadzonych przez CERT Polska zaobserwowano przypadki, w których nazwy plików zostały zmodyfikowane, np. poprzez usunięcie nawiasów, co uniemożliwiało ich poprawne rozpoznanie przez dekryptor. W takich sytuacjach warto ręcznie przywrócić poprawny format nazwy pliku, zgodny z przedstawionym wcześniej schematem. Przykład:
niepoprawne: plik.txt.id1234ABCD-1234.mailexample.com.faust poprawne: plik.txt.id[1234ABCD-1234].[[email protected]].faust
Autorzy narzędzia zaznaczają, że w przypadku niektórych plików, szczególnie tych, których szyfrowanie przebiegło z błędami, deszyfrowanie może się nie powieść. Dodatkowo, dekryptor nie gwarantuje integralności odzyskanych danych.
CERT Polska podejmuje kontakt ze znanymi sobie ofiarami ataków Phobos/8Base w celu poinformowania ich o możliwości skorzystania z dekryptora i potencjalnego odzyskania danych.