Bu rehber, gerçek Phobos örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 1 domain, 1 mutex).

Phobos Nedir?

Phobos, ilk olarak 2018 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde custom protokolünü kullanmaktadır.

Phobos ransomware is a derivative of Dharma RaaS. Uses AES-256 for file encryption. Distributed through RDP brute force. Active since 2019.

Atıf / Tehdit Aktörü: WIZARD SPIDER (related lineage), Dharma/CrySis family

Teknik Detay: Phobos ransomware emerged in December 2018 as a derivative of Dharma/CrySis ransomware. Encrypts files using AES-256 with RSA-1024 key exchange. Files are renamed with victim ID, attacker email address, and .phobos extension. Distributed primarily through RDP brute force attacks. Deletes volume shad

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Phobos örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
43f846c12c24a078ebe33f71e8ea3b4f75107aeb275e2c3cd9dc61617c9757fcSHA256Phobos
00723db8c6513a9b8a79b8b8cc7d9da9f23a8a5454149ed12768937ca15d1a47SHA256Phobos
c70ced34e4c01df4344e9ee4b2a42190f25ed6ac7543ee9c9579cb0ca8658256SHA256Phobos
3d86f3bce92423415bc7beef95e13e9c8a422075e35e80185aec02f439c673eeSHA256Phobos
41dbdaeb1dc8fe40358a5e168af596da85c6a84796e63c9d10c11f2077129eafSHA256Phobos
4e93c194b641d9b849f270531ec14d20MD5Phobos
531aeb4fc0b06a16dfe2b047b33ea027MD5Phobos
03ff3bba0065b0b29723f59c41890e45MD5Phobos
bfd7d0531b659ecb6b7abae78f92b139MD5Phobos
dc2d809e46c60ee990844ee7fbdc17cdMD5Phobos

Süreç Tespiti — Mutex Değerleri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif Phobos enfeksiyonuna işaret eder:

  • Global_Phobos_Ransomware_Mutex

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Phobos Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen Phobos C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.