Cibersecuestro Phobos

Conocido también como: el virus Phobos
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Phobos

¿Qué es Phobos?

Phobos es un virus de tipo ransomware que (como casi todos los programas de este tipo) encripta los datos y bloquea los archivos almacenados los deja así hasta que se pague el rescate. Phobos cambia el nombre de todos los archivos encriptados añadiendo la extensión ".phobos" más un ID único de la víctima y una dirección de e-mail. Por ejemplo, el archivo "1.jpg" pasaría a llamarse algo como "1.jpg.ID-63857777". [Job2019@tutanota.com] .phobos" o "1.jpg.ID-63857777. [Cadillac.407@aol.com] .phobos". El correo electrónico mostrado en la extensión asignada varía. El virus encripta datos usando criptografía AES y, tras el cifrado, genera una aplicación HTML ("Phobos.hta") y la abre. Esta app muestra una ventana emergente que contiene un mensaje donde se pide un rescate.

En el mensaje de rescate, los ciberdelincuentes afirman que todos los archivos están encriptados. Para descifrarlos, las víctimas tienen que contactar con ellos a través de cadillac.407@aol.com, ottoZimmerman@protonmail.ch u otra dirección de e-mail y facilitar el ID asignado ("ID de encriptación"). Los desarrolladores de Phobos ofrecen la desencriptación gratuita de algunos archivos como "muestra" de que son de confianza y son capaces de llevar a cabo la desencriptación (tienen las herramientas de descifrado necesarias). También instan a las víctimas a contactar con ellos de inmediato: supuestamente, cuanto antes se contacte con los ciberdelincuentes, menor será el coste del descifrado. También advierten a los usuarios de los equipos infectados de que solo pueden ofrecer los medios para desencriptar archivos. Afirman que cualquier intento de usar otras herramientas podría ocasionar daños permanentes en los datos (pérdida de datos). Una víctima contactó con los desarrolladores de Phobos y recibió una respuesta donde se afirma que el coste del descifrado (en esa fecha) era de $3000; sin embargo, afirman también que a no ser que el pago se haga en seis horas al monedero Bitcoin facilitado, el coste se incrementará en 2000 USD (el coste total de la herramienta de descifrado sería entonces $5000). Normalmente, los ciberdelincuentes usan algoritmos que generan claves únicas y son imposibles de crackear. Asimismo, los desarrolladores de ransomware almacenan esas claves en servidores remotos controlados solo por ellos. El descifrado sin implicar a ciberdelincuentes es, por regla general, imposible; sin embargo, recomendamos que nunca se fíe de esa gente ni contacte con ellos; ignoran a las víctimas una vez que los pagos del rescate se hagan. Si su equipo está infectado con Phobos, la mejor solución es usar una copia de seguridad existente y restaurar los archivos a partir de ahí. No hay herramienta capaz de desencriptar los archivos de forma gratuita.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Phobos

Hay muchos programas de tipo ransomware, casi todos ellos son muy similares. Algunos ejemplos son Seon, Nostro y LyaS. El objetivo principal de esos virus es encriptar dato y obligar a las víctimas a pagar rescates (normalmente, en criptomonedas). Las principales diferencias están normalmente en el coste de la herramienta o clave de descifrado y en el algoritmo criptográfico usado para encriptar los datos. Solo los desarrolladores de ransomware puede facilitar a las víctimas las claves o herramientas de descifrado, por lo que es normalmente imposible desencriptar los datos sin que intervengan ellos. Esto solo podría ser posible si el virus no está 100 % desarrollado o si contiene fallos/errores. Por tanto, cree copias de seguridad y almacénelas en servidores remotos o dispositivos de almacenamiento extraíbles.

¿Cómo llegó el cibersecuestro a mi equipo?

Normalmente, hay diversas formas de infectar equipos con virus encriptadores; sin embargo, no se sabe exactamente cómo los ciberdelincuentes propagan Phobos. Normalmente, los desarrolladores de cibersecuestros propagan estas infecciones a través de campañas de correo basura, actualizadores de software fraudulento, fuentes sospechosas de descarga de software y troyanos. Las campañas de spam infectan equipos a través de adjuntos por e-mail que podrían ser documentos de MS Office, archivos, ejecutables, archivos PDF, etc. Los ciberdelincuentes envían muchos correos que contienen adjuntos maliciosos a la espera de que algunos usuarios los abran. Abrir esos adjuntos e instalar software malicioso ocasiona normalmente la infección del equipo con ransomware u otros virus de alto riesgo. Los asistentes de software fraudulento descargan e instalan a menudo software malicioso en vez de actualizaciones prometidas o se aprovechan de errores o fallos en el software desactualizado. Los ciberdelincuentes usan fuentes de descarga de dudosa fiabilidad (como sitios web de descargas gratuitas, sitios web de alojamiento de archivos y redes P2P) para propagar archivos maliciosos (ejecutables) y los presentan como legítimos. Al descargar y ejecutarlos, se instala software malicioso (como los programas de tipo ransomware). Los troyanos son virus (programas maliciosos) que, una vez que se instalan, propagan ransomware y otros infecciones.

Datos básicos de la amenaza:
Nombreel virus Phobos
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus Phobos, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Tome precauciones al navegar por la web o al instalar o descargar y actualizar el software. No abra adjuntos que se encuentren en correos que no sean importantes. Si ha recibido un correo con un adjunto enviado por una dirección de correo desconocida o sospechosa, no abra el adjunto ni haga clic en el enlace presente. Descargue software solo de sitios web oficiales u otras fuentes fiables. No use herramientas de descarga de terceros o de tipo dudoso. No use herramientas de actualización de software que no sean oficiales; use herramientas o funciones implementadas que hayan sido proporcionadas por los desarrolladores de software. Tenga software antivirus o antiespía de reputación; esas herramientas pueden detectar y eliminar varias amenazas (infecciones informáticas) antes de que puedan ocasionar daño alguno. Si su equipo está infectado ya con Phobos, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en la ventana emergente del ransomware Phobos:

All your files are encrypted
To decrypt your files, contact us using this e-mail: Cadillac.407@aol.com Please set topic 'Encryption ID: ********'.

We offer free decryption of your test files as a proof. You can attach them to your e-mail and we'll send you decrypted ones.
Decryption price increases over time, hurry up and get discount.
Decryption using third parties may lead to scam or increased price.

Captura de pantalla de otra versión de la ventana emergente del ransomware Phobos:

otra versión de la ventana emergente del ransomware Phobos

Texto mostrado en la segunda versión de la ventana emergente del ransomware Phobos:

All your files are encrypted
Hello World
Data on this PC turned into a useless binary code
To return to normal, please contact us by this e-mail: OttoZimmerman@protonmail.ch
Set topic of your message to 'Encryption ID: ********'
Interesting Facts:
• 1. Over time, the cost increases, do not waste your time
• 2. Only we can help you, for sure, no one else.
• 3. BE CAREFUL !!! If you still try to find other solutions to the problem, make a backup copy of the files you want to experiment on, and play with them. Otherwise, they can be permanently damaged
• 4. Any services that offer you help or just take money from you and disappear, or they will be intermediaries between us, with inflated value. Since the antidote is only among the creators of the virus

Captura de pantalla de archivos encriptados por Phobos (la extensión ".phobos" contiene un ID y dirección de e-mail):

archivos cifrados por Phobos

Eliminar el cibersecuestro Phobos:

Eliminar automáticamente de forma instantánea el virus Phobos: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Phobos. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Phobos. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Phobos se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Phobos.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Phobos eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Phobos, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Phobos.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Phobos:

Fuente: https://www.pcrisk.com/removal-guides/14258-phobos-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus Phobos Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus Phobos desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus Phobos:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.