Công cụ giải mã mới có khả năng khôi phục tệp tin bị mã hóa bởi mã độc tống tiền Phobos và 8base

Cảnh sát Nhật Bản đã phát hành công cụ giải mã đối với mã độc tống tiền Phobos và 8-Base, cho phép nạn nhân khôi phục tệp tin miễn phí.

Về mã độc tống tiền Phobos và 8Base

Phobos là một hoạt động ransomware-as-a-service (RaaS) được triển khai vào tháng 12/2018, cho phép các tác nhân đe dọa khác tham gia với tư cách là các nhóm nhỏ và sử dụng công cụ mã hóa của chúng trong các cuộc tấn công. Đổi lại, mọi khoản tiền chuộc sẽ được chia đều giữa các nhóm này và các nhà điều hành.

Mặc dù không nhận được nhiều sự chú ý như các hoạt động độc hại khác, thế nhưng Phobos được coi là một trong những loại mã độc tống tiền được phân phối rộng rãi nhất, chịu trách nhiệm cho nhiều cuộc tấn công vào các doanh nghiệp trên toàn thế giới.

Năm 2023, tận dụng cơ sở hạ tầng của Phobos cùng bộ mã hóa được sửa được, một nhóm tin tặc khác là 8Base đã phát triển biến thể mã độc tống tiền của riêng mình, sử dụng cơ chế mã hóa và phân phối để điều chỉnh các cuộc tấn công nhằm đạt tác động tối đa. Nhóm này thực hiện hành vi tống tiền kép bằng cách mã hóa các tệp và đánh cắp dữ liệu, đồng thời đe dọa sẽ giải phóng dữ liệu nếu không được trả tiền chuộc.

Năm 2024, một công dân Nga bị tình nghi là người quản lý hoạt động mã độc tống tiền Phobos đã bị dẫn độ từ Hàn Quốc sang Mỹ để đối mặt với cáo buộc gồm 13 tội danh.

Năm 2025, chiến dịch Phobos đã bị gián đoạn nghiêm trọng, với một chiến dịch phối hợp thực thi pháp luật quốc tế đã phá hủy và thu giữ 27 máy chủ. Trong khuôn khổ chiến dịch này, bốn công dân Nga bị tình nghi cầm đầu nhóm mã độc tống tiền 8Base đã bị bắt giữ.

Bộ giải mã Phobos miễn phí

Như đã đề cập, Cảnh sát Nhật Bản hiện đã phát hành một công cụ giải mã miễn phí cho các tổ chức và cá nhân có tệp tin bị mã hóa bởi phần mềm tống tiền Phobos và 8Base. Công cụ này có thể được tải xuống từ trang web của cơ quan này, kèm theo hướng dẫn bằng tiếng Anh. Công cụ giải mã cũng có sẵn trên nền tảng NoMoreRansom của Cơ quan Cảnh sát Liên minh châu Âu (Europol).

Cần lưu ý rằng các trình duyệt web, bao gồm Google Chrome và Mozilla Firefox, đang phát hiện công cụ là phần mềm độc hại, khiến việc tải xuống và sử dụng trở nên khó khăn. Tuy nhiên, theo trang tin BleepingComputer cho biết, họ đã thử nghiệm trình giải mã và thấy rằng công cụ có thể giải mã thành công các tệp đã bị mã hóa trước đó.

Bộ giải mã hiện hỗ trợ các tệp mã hóa có phần mở rộng sau: “.phobos”, “.8base”, “.elbie”, “.faust” và “.LIZARD”. Tuy nhiên, cảnh sát Nhật Bản cho biết một số phần mở rộng khác có thể được hỗ trợ, do đó, người dùng nên thử nghiệm trình giải mã ngay cả khi tệp của họ không có các phần mở rộng được liệt kê.

Để thử nghiệm, BleepingComputer đã lây nhiễm một máy ảo bằng biến thể mã độc tống tiền Phobos mới nhất, biến thể này thêm phần mở rộng .LIZARD vào tên tệp bị mã hóa.

Hình 1. Các tệp tin bị mã hóa bởi biến thể mã độc tống tiền Lizard Phobos

Để giải mã tệp, khởi chạy công cụ giải mã và đồng ý với thỏa thuận cấp phép. Nếu Windows không được cấu hình để hỗ trợ tên tệp dài, hệ thống sẽ nhắc người dùng cho phép bật cài đặt này và sau đó yêu cầu khởi chạy lại công cụ.

Tiếp theo, người dùng có thể chỉ định đường dẫn đến các tệp đã mã hóa và sau đó chọn thư mục đầu ra để tạo các tệp đã giải mã. Khi đã sẵn sàng, nhấp vào nút “Decrypt”, công cụ lúc này sẽ cố gắng khôi phục các tệp vào thư mục đã chọn.

Cần lưu ý rằng, người dùng có thể chọn thư mục gốc của ổ đĩa và công cụ sẽ giải mã các tệp theo cách đệ quy, tạo lại cùng một cấu trúc thư mục trong thư mục đích. Khi hoàn tất, công cụ sẽ hiển thị số lượng tệp đã được giải mã thành công.