🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
رانسوم وير

تحليل برنامج Faust Ransomware، وهو أحد أشكال عائلة برامج الفدية Phobos

اكتشفت منصة XviGil للمخاطر الرقمية السياقية الخاصة بالذكاء الاصطناعي التابعة لـ CloudSek مجموعة برامج الفدية ذات الدوافع المالية، والتي يطلق عليها اسم Faust، وهي نوع من عائلة Phobos ransomware. تقوم المجموعة بتشفير ملفات الضحايا بامتداد «.faust».
Updated on
August 19, 2025
Published on
February 8, 2023
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.

Category: 

Malware Intelligence

Industry: 

Multiple     

Motivation:

Financial

Region: 

Global

Source:

A: Reliable

1: Confirmed by independent Sources

ملخص تنفيذي

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت مجموعة رانسوم وير ذات دوافع مالية، يطلق عليها اسم Faust، أحد أنواع عائلة برامج الفدية Phobos. تقوم المجموعة بتشفير ملفات الضحايا بامتداد «.faust».

في مذكرة الفدية، تمت مشاركة عنوان بريد إلكتروني (gardex_recofast @zohomail [.] eu) للتواصل حول الفدية. تقوم مجموعة برامج الفدية بإسقاط info.hta (تطبيق HTML) وملف info.txt المخصص للاتصال من الجهات الفاعلة في مجال التهديد بعد تشفير ملفات الضحايا.

من المثير للاهتمام ملاحظة أن مجموعة برامج الفدية ذكرت عنواني بريد إلكتروني، gardex_recofast @zohomail [.] eu وannawong @onionmail [.] org، للتواصل في غضون 24 ساعة.

التحليل والإسناد

تحليل مفتوح المصدر

استنادًا إلى تحليلنا التاريخي للتهديدات المماثلة، نعتقد أن وجود عناوين بريد إلكتروني متعددة يشير إلى احتمالين. إما أنها تنتمي إلى العديد من الشركات التابعة أو تقوم الجهات الفاعلة في مجال التهديد بإنشاء عناوين بريد إلكتروني متعددة للتهرب من الحظر من موفري البريد الإلكتروني.

تم استخدام عناوين البريد الإلكتروني المذكورة للاتصال المباشر بخدمات مزود البريد الإلكتروني مثل:

  • زوهو ميل
  • بريد البصل
  • البريد الجوي
  • بروتون ميل
  • توتا نوتا
  • كوك.لي
  • Gmail
  • كيميل

تاريخ مجموعة فوبوس رانسومواري

بدأت مجموعة Phobos ransomware عملياتها في عام 2018 وكان من المعروف أنها تنتشر عبر اتصالات RDP المخترقة أو الضعيفة. بحلول عام 2020، بدأ أحد مشغلي Phobos في التجنيد عبر منتديات المجرمين الإلكترونيين باستخدام طرق الاتصال الأساسية عبر jabber (CreakerBro @exploit [.] im) والبريد الإلكتروني (SennadaSilva0194 @keemail [.] me).

منذ ذلك الحين، يمكن رؤية العديد من الشركات التابعة لـ Phobos ransomware وهي تلحق عنوان بريدها الإلكتروني أثناء تشفير ملفات الضحايا. حتى الآن، لا يوجد برنامج فك تشفير مجاني متاح لـ Faust ransomware، وهو نوع من برنامج Phobos ransomware.

تقوم Phobos Ransomware بتجنيد شركاء لعمليات برامج الفدية الخاصة بهم


الاتصال ببرنامج دارما/كرايسيس رانسوم وير


تشير العديد من التقارير البحثية إلى أن Phobos مشتق من برامج الفدية Dharma و CrySis. كانت CrySis Ransomware في ذروة عملياتها في عام 2016 ولكن لاحقًا تمت مشاركة شفرة المصدر الخاصة بها من قبل مؤلفها الأصلي. لذلك، يمكن ملاحظة أوجه تشابه مذهلة بين المجموعتين، بما في ذلك مذكرة الفدية الخاصة بهم.

مؤشرات التسوية (IOCs)

استنادًا إلى نتائج VirusTotal وTriage، فيما يلي عمليات التشغيل الأولية لبرنامج Faust ransomware. اكتشفت قواعد YARA أن فوبوس هو التوقيع الأساسي لـ Faust ransomware.

MD5

9f14040a8875531ea00aa6f5aa90f218

SHA-1

caf2ae5b2b2d86e4cb52e03079c4ef82ed1c57d5

b9b10ce1f750c58236e8ad7137a03a4e4ab33924

SHA-256

b5475975e30be3c1ff6c97d148def1287dc3a0341d546198df85dbb66c1b6ffa

مذكرة الفدية

تم تشفير جميع ملفاتك!

تم تشفير جميع ملفاتك بسبب مشكلة أمنية في جهاز الكمبيوتر الخاص بك. إذا كنت ترغب في استعادتها، فاكتب إلينا على البريد الإلكتروني [email protected]

اكتب هذا المعرف في عنوان رسالتك -

في حالة عدم الإجابة خلال 24 ساعة، اكتب لنا على هذا البريد الإلكتروني: [email protected]

يجب عليك الدفع مقابل فك التشفير في عملات البيتكوين. يعتمد السعر على مدى سرعة الكتابة إلينا. بعد الدفع، سنرسل لك الأداة التي ستقوم بفك تشفير جميع ملفاتك.

فك تشفير مجاني كضمان

قبل الدفع، يمكنك إرسال ما يصل إلى 5 ملفات لفك التشفير مجانًا. يجب أن يكون الحجم الإجمالي للملفات أقل من 4 ميجابايت (غير مؤرشف)، ويجب ألا تحتوي الملفات على معلومات قيمة. (قواعد البيانات والنسخ الاحتياطية وأوراق Excel الكبيرة وما إلى ذلك)

كيفية الحصول على عملات البيتكوين

أسهل طريقة لشراء عملات البيتكوين هي موقع LocalBitcoins. يجب عليك التسجيل والنقر فوق «شراء عملات البيتكوين» وتحديد البائع حسب طريقة الدفع والسعر.

hxxps: //localbitcoins.com/buy_bitcoins

كما يمكنك العثور على أماكن أخرى لشراء عملات البيتكوين ودليل المبتدئين هنا:

hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/

انتباه!

لا تقم بإعادة تسمية الملفات المشفرة.

لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث، فقد يتسبب ذلك في فقدان البيانات بشكل دائم.

قد يؤدي فك تشفير ملفاتك بمساعدة أطراف ثالثة إلى زيادة السعر (يضيفون رسومهم إلى رسومنا) أو يمكن أن تصبح ضحية لعملية احتيال.

```

قواعد YARA للكشف عن برنامج الفدية Phobos


[TLP:WHITE] win_phobos_auto (20230125 | Detects win.phobos.)
rule win_phobos_auto {

    meta:
        author = "Felix Bilstein - yara-signator at cocacoding dot com"
        date = "2023-01-25"
        version = "1"
        description = "Detects win.phobos."
        info = "autogenerated rule brought to you by yara-signator"
        tool = "yara-signator v0.6.0"
        signator_config = "callsandjumps;datarefs;binvalue"
        malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos"
        malpedia_rule_date = "20230124"
        malpedia_hash = "2ee0eebba83dce3d019a90519f2f972c0fcf9686"
        malpedia_version = "20230125"
        malpedia_license = "CC BY-SA 4.0"
        malpedia_sharing = "TLP:WHITE"

    /* DISCLAIMER
     * The strings used in this rule have been automatically selected from the
     * disassembly of memory dumps and unpacked files, using YARA-Signator.
     * The code and documentation is published here:
     * https://github.com/fxb-cocacoding/yara-signator
     * As Malpedia is used as data source, please note that for a given
     * number of families, only single samples are documented.
     * This likely impacts the degree of generalization these rules will offer.
     * Take the described generation method also into consideration when you
     * apply the rules in your use cases and assign them confidence levels.
     */


    strings:
        $sequence_0 = { 81c6b2000000 89b7a8000000 8b75fc 6a02 8945e0 8945e4 8d45e0 }
            // n = 7, score = 100
            //   81c6b2000000         | add                 esi, 0xb2
            //   89b7a8000000         | mov                 dword ptr [edi + 0xa8], esi
            //   8b75fc               | mov                 esi, dword ptr [ebp - 4]
            //   6a02                 | push                2
            //   8945e0               | mov                 dword ptr [ebp - 0x20], eax
            //   8945e4               | mov                 dword ptr [ebp - 0x1c], eax
            //   8d45e0               | lea                 eax, [ebp - 0x20]

        $sequence_1 = { 8d440002 8945f8 8d45f4 50 6819010200 }
            // n = 5, score = 100
            //   8d440002             | lea                 eax, [eax + eax + 2]
            //   8945f8               | mov                 dword ptr [ebp - 8], eax
            //   8d45f4               | lea                 eax, [ebp - 0xc]
            //   50                   | push                eax
            //   6819010200           | push                0x20119

        $sequence_2 = { ff7510 ff15???????? 8945fc 83f8ff 0f849c010000 ff75ec 8d4620 }
            // n = 7, score = 100
            //   ff7510               | push                dword ptr [ebp + 0x10]
            //   ff15????????         |                     
            //   8945fc               | mov                 dword ptr [ebp - 4], eax
            //   83f8ff               | cmp                 eax, -1
            //   0f849c010000         | je                  0x1a2
            //   ff75ec               | push                dword ptr [ebp - 0x14]
            //   8d4620               | lea                 eax, [esi + 0x20]

        $sequence_3 = { ff7508 e8???????? 83c40c 8bd8 66ff4b04 66ff4e04 }
            // n = 6, score = 100
            //   ff7508               | push                dword ptr [ebp + 8]
            //   e8????????           |                     
            //   83c40c               | add                 esp, 0xc
            //   8bd8                 | mov                 ebx, eax
            //   66ff4b04             | dec                 word ptr [ebx + 4]
            //   66ff4e04             | dec                 word ptr [esi + 4]

        $sequence_4 = { e8???????? 59 59 ff45f4 837dd800 743e 837dec00 }
            // n = 7, score = 100
            //   e8????????           |                     
            //   59                   | pop                 ecx
            //   59                   | pop                 ecx
            //   ff45f4               | inc                 dword ptr [ebp - 0xc]
            //   837dd800             | cmp                 dword ptr [ebp - 0x28], 0
            //   743e                 | je                  0x40
            //   837dec00             | cmp                 dword ptr [ebp - 0x14], 0

        $sequence_5 = { 5b c6043080 3bc3 40 730e }
            // n = 5, score = 100
            //   5b                   | pop                 ebx
            //   c6043080             | mov                 byte ptr [eax + esi], 0x80
            //   3bc3                 | cmp                 eax, ebx
            //   40                   | inc                 eax
            //   730e                 | jae                 0x10

        $sequence_6 = { 8b4508 ebeb 8b7df8 eb1b 0fb707 }
            // n = 5, score = 100
            //   8b4508               | mov                 eax, dword ptr [ebp + 8]
            //   ebeb                 | jmp                 0xffffffed
            //   8b7df8               | mov                 edi, dword ptr [ebp - 8]
            //   eb1b                 | jmp                 0x1d
            //   0fb707               | movzx               eax, word ptr [edi]

        $sequence_7 = { eb01 4f ff75fc e8???????? 59 }
            // n = 5, score = 100
            //   eb01                 | jmp                 3
            //   4f                   | dec                 edi
            //   ff75fc               | push                dword ptr [ebp - 4]
            //   e8????????           |                     
            //   59                   | pop                 ecx

        $sequence_8 = { 57 50 e8???????? 8b4604 ff760c }
            // n = 5, score = 100
            //   57                   | push                edi
            //   50                   | push                eax
            //   e8????????           |                     
            //   8b4604               | mov                 eax, dword ptr [esi + 4]
            //   ff760c               | push                dword ptr [esi + 0xc]

        $sequence_9 = { 837e0800 7446 8b06 85c0 7440 8b0f 894e04 }
            // n = 7, score = 100
            //   837e0800             | cmp                 dword ptr [esi + 8], 0
            //   7446                 | je                  0x48
            //   8b06                 | mov                 eax, dword ptr [esi]
            //   85c0                 | test                eax, eax
            //   7440                 | je                  0x42
            //   8b0f                 | mov                 ecx, dword ptr [edi]
            //   894e04               | mov                 dword ptr [esi + 4], ecx

    condition:
        7 of them and filesize < 139264
}

المراجع

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more