Philadelphia Ransomware: عدوى جديدة في صناعة الرعاية الصحية

تم اكتشاف سلالة جديدة من برامج الفدية من قبل مسؤولي الأمن في Forcepoint ، تكساس والتي تستهدف مؤسسات الرعاية الصحية. برنامج الفدية فيلادلفيا هو من عائلة Stampado. تُباع مجموعة أدوات الفدية هذه عبر الإنترنت مقابل بضع مئات من الدولارات ويطلب المهاجمون فدية في شكل عملات البيتكوين.

وجد الباحثون أن فيلادلفيا ransomware يتم نقلها عبر رسائل البريد الإلكتروني الخاصة بالخداع بالرمح. يتم إرسال رسائل البريد الإلكتروني هذه إلى المستشفيات مع نص رسالة بعنوان URL مختصر يوجه نحو مساحة تخزين شخصية تخدم ملف DOCX مُسلح مع شعار مؤسسة الرعاية الصحية المستهدفة. يُحاصر الموظفون وينتهي بهم الأمر بالنقر فوق هذه الروابط التي تجعل برنامج الفدية يتسلل إلى النظام.

مصدر الصورة: forcepoint.com

بمجرد إنشاء برنامج الفدية في النظام ، فإنه يتصل بخادم القيادة والتحكم وينقل جميع المعلومات حول الكمبيوتر الضحية مثل نظام التشغيل والبلد ولغة النظام واسم مستخدم الجهاز. يقوم خادم C&C بعد ذلك بإنشاء معرف الضحية وسعر الفدية ومعرف محفظة Bitcoin وإرساله إلى الجهاز المستهدف.

تقنية التشفير المستخدمة من قبل Philadelphia Ransomware هي AES-256 ، والتي تتطلب فدية قدرها 0.3 بيتكوين بمجرد الانتهاء من قفل ملفاتك. يمكن ملاحظة انغماسها تجاه الصناعة الصحية من خلال مسار الدليل الذي يعرض "المستشفى / البريد العشوائي" كسلسلة في جافا سكريبت المشفر إلى جانب "المستشفى / المنتجع الصحي" الموجود في مسار خادم القيادة والسيطرة.

مصدر الصورة: funender.com

ما هي فيلادلفيا:

حسنًا ، يعلم الجميع أنها أكبر مدينة في ولاية بنسلفانيا ، ولكن فيما يتعلق بالجرائم الإلكترونية ، فهي أيضًا نسخة محدثة من فيروس Stampado ransomware سيئ السمعة. في رسائل التصيد الاحتيالي عبر البريد الإلكتروني ، قد تواجههم مع إشعارات دفع مزيفة متأخرة. تشتمل رسائل البريد هذه في الغالب على روابط لمواقع فيلادلفيا الإلكترونية ، والتي تظل جاهزة مع تطبيقات Java لتثبيت برامج الفدية في نظامك.

راجع أيضًا:  أفضل 5 أدوات للحماية من برامج الفدية

تبدأ فيلادلفيا في تشفير الملفات بامتدادات مختلفة مثل .doc و .bmp و .avi و .7z و .pdf وما إلى ذلك ، بعد تدخل ناجح في النظام. يمكنك تحديد ملف مشفر مغلق بواسطة فيلادلفيا بامتداده على أنه " مقفل ". على سبيل المثال ، سيتم تشفير ملف في نظامك باسم "abc.bmp" وإعادة تسميته باسم "KD24KIH83483BJAKDF8JDR7.locked". بمجرد محاولة فتح الملف المشفر ، تفتح برامج الفدية نافذة جديدة مع طلب فدية في الرسالة.

تخبرك رسالة الفدية أن الملفات قد تم تشفيرها وعليك أن تدفع لها لاستعادتها. تستخدم فيلادلفيا خوارزمية تشفير غير متماثلة تنشئ مفاتيح عامة (تشفير) ومفاتيح خاصة (فك تشفير) أثناء تشفير الملفات وقفلها. يشبه فك تشفير الملفات المقفلة بدون المفتاح الخاص غليان المحيط حيث توجد على خوادم بعيدة يحرسها مجرمو الإنترنت.

تحتوي النافذة على مؤقتين مثيرين للاهتمام: الموعد النهائي والروليت الروسي. بينما يشير مؤقت الموعد النهائي ، الوقت المتبقي في الحصول على مفتاحك الخاص ، فإن الروليت الروسي يعرض الوقت لحذف الملف التالي (يدفعك لشرائه دون توفير الوقت في البحث عن المساعدة). إنه بالفعل تهديد ولكن هذا هو الشيء الوحيد الذي ليس مزيفًا فيه.

مصدر الصورة: forbes.com

هل يمكنك تجنب هذا الموقف؟

نعم فعلا. يمكنك أن تنقذ من أن تنشرها فيلادلفيا رانسومواري ؛ ومع ذلك ، يجب أن تحافظ على جهاز الكمبيوتر الخاص بك مسلحًا بأفضل برامج مكافحة برامج الفدية والبرامج الضارة. لاحظ أن بعض برامج الفدية قد تتحايل على أفضل برامج مكافحة برامج الفدية ، لذا فإن أفضل الممارسات هي أن تصبح مستخدمًا يقظًا ولا تنقر على أي شيء غير عادي ومشتبه به.

راجع أيضًا:  أهم 5 نصائح لمحاربة الخراب في برامج الفدية

بالنظر إلى كل شيء ، يمكن اعتبار فيلادلفيا رانسومواري نوعًا مخترقًا من العدوى. على الرغم من أنه استهدف مؤسسات الرعاية الصحية الآن فقط ، لكن يمكنك أن تكون ضحية أيضًا لأن الكود المصدري لهذا الفيروس مفتوح للبيع بمبلغ 400 دولار عبر الويب المظلم. قد يحصل أي مجرم إلكتروني طموح على الشفرة ويبدأ في البحث عن فريسة. يجب أن يساعد الحفاظ على جهاز الكمبيوتر الخاص بك محصنًا وحمايته بواسطة برامج مكافحة البرامج الضارة وبرامج مكافحة برامج الفدية.