Phobos атаковал — F6 расшифровал: новая утилита уже на GitHub

Лаборатория цифровой криминалистики и анализа вредоносного кода F6 представила собственный инструмент для дешифровки данных, зашифрованных вымогательским ПО Phobos. Утилита предназначена для пострадавших российских компаний и пользователей, которым теперь доступен бесплатный и безопасный способ восстановления файлов.

Новая разработка стала ответом на недавний релиз альтернативного декриптора , созданного японскими правоохранительными органами. Однако, как уточняется, эта версия имеет серьёзные ограничения — она не поддерживает устаревшие версии Windows, что делает её неприменимой для части жертв, особенно в организациях с устаревшими инфраструктурами.

Phobos был впервые замечен в октябре 2017 года, но широкое распространение получил с 2019 года. Программа активно продвигается в даркнете через модель «вымогательства как услуга» (RaaS), позволяя любому желающему арендовать инструменты атаки за долю от выкупа. Благодаря такой модели Phobos стал одним из самых известных и массово используемых шифровальщиков последних лет.

Типичные атаки Phobos включают проникновение в сеть через уязвимые сервисы удалённого доступа (вроде RDP), шифрование пользовательских и корпоративных файлов и оставление требований выкупа. Зачастую злоумышленники используют персонализированные сообщения с указанием конкретной суммы и угрозой полной потери данных.

Команда F6 опубликовала не только сам инструмент, но и подробную документацию по работе с разными семействами программ-вымогателей. Репозиторий включает материалы по дешифровке, анализу поведения вредоносов и рекомендациям по защите.