Wygasłe Dla administratorów

Publikacja dekryptora Phobos

24-07-2025 (Wygasłe: 22-09-2025)
[19/2025]

W lutym 2025 roku Europol poinformował o rozbiciu grupy ransomware Phobos/8Base, aktywnej od 2018 roku. W wyniku działań służb doszło do przejęcia infrastruktury oraz zatrzymania kilku osób.

Efektem tych działań jest opublikowanie w ostatnim tygodniu narzędzia deszyfrującego, opracowanego przez japońską policję. Narzędzie umożliwia odzyskanie plików zaszyfrowanych przez ransomware z rodziny Phobos.

Dekryptor wraz ze szczegółową instrukcją obsługi został opublikowany na stronie projektu No More Ransom: https://www.nomoreransom.org/en/decryption-tools.html#Phobos

Zespół CERT Polska przeprowadził weryfikację narzędzia i potwierdza jego skuteczność w znaczącej większości przypadków, na podstawie zaszyfrowanych próbek, które zespół otrzymał w zgłoszeniach incydentów.

Zgodnie z informacjami zawartymi w instrukcji, pliki kwalifikujące się do odszyfrowania charakteryzują się następującym schematem nazewnictwa:

{nazwa pliku}.id[{8 znaków}–{4 cyfry}].[{adres email}].{rozszerzenie pliku}

Autorzy narzędzia wskazują, że dekryptor obsługuje między innymi pliki z rozszerzeniami: .phobos, .8base, .elbie, .faust oraz .LIZARD.

Zespół CERT Polska potwierdził dodatkowo skuteczność dekryptora w przypadku plików z rozszerzeniami: .mango, .Devos oraz .eking.

Warto przetestować narzędzie nawet wtedy, gdy nazwa pliku nie odpowiada dokładnie powyższemu schematowi.

Podczas testów prowadzonych przez CERT Polska zaobserwowano przypadki, w których nazwy plików zostały zmodyfikowane, np. poprzez usunięcie nawiasów, co uniemożliwiało ich poprawne rozpoznanie przez dekryptor. W takich sytuacjach warto ręcznie przywrócić poprawny format nazwy pliku, zgodny z przedstawionym wcześniej schematem. Przykład:

niepoprawne: plik.txt.id1234ABCD-1234.mailexample.com.faust poprawne: plik.txt.id[1234ABCD-1234].[[email protected]].faust

Autorzy narzędzia zaznaczają, że w przypadku niektórych plików, szczególnie tych, których szyfrowanie przebiegło z błędami, deszyfrowanie może się nie powieść. Dodatkowo, dekryptor nie gwarantuje integralności odzyskanych danych.

CERT Polska podejmuje kontakt ze znanymi sobie ofiarami ataków Phobos/8Base w celu poinformowania ich o możliwości skorzystania z dekryptora i potencjalnego odzyskania danych.

Wróć do listy komunikatów