Philadelphia Ransomware: Neue Infektion in der Gesundheitsbranche

Sicherheitsbeamte von Forcepoint, Texas, haben einen neuen Ransomware-Stamm entdeckt, der auf Gesundheitsorganisationen abzielt. Die Philadelphia-Ransomware stammt aus der Stampado-Familie. Dieses Ransomware-Kit wird online für ein paar hundert Dollar verkauft und Angreifer verlangen Lösegeld in Form von Bitcoins.

Forscher fanden heraus, dass Philadelphia-Ransomware über Spear-Phishing-E-Mails transportiert wird. Solche E-Mails werden mit einem Nachrichtentext einer verkürzten URL an die Krankenhäuser gesendet, die zu einem persönlichen Speicherplatz führt, der eine waffenfähige DOCX-Datei mit dem Logo der anvisierten Gesundheitsorganisation bereitstellt. Die Mitarbeiter bleiben gefangen und klicken schließlich auf diese Links, die dazu führen, dass die Ransomware in das System eindringt.

Bildquelle: forcepoint.com

Sobald die Ransomware im System eingerichtet ist, kontaktiert sie den C&C-Server und überträgt alle Informationen über den Opfercomputer wie Betriebssystem, Land, Systemsprache und Benutzername des Computers. Der C&C-Server generiert dann eine Opfer-ID, einen Lösegeldpreis und eine Bitcoin-Wallet-ID und sendet sie an den Zielcomputer.

Die von Philadelphia Ransomware verwendete Verschlüsselungstechnik ist AES-256, die ein Lösegeld von 0,3 Bitcoins verlangt, sobald Ihre Dateien gesperrt sind. Sein Engagement für die Gesundheitsbranche kann an dem Verzeichnispfad beobachtet werden, der 'hospital/spam' als String in seinem verschlüsselten JavaScript zusammen mit 'hospital/spa' in seinem C&C-Serverpfad anzeigt.

Bildquelle: funender.com

Was ist Philadelphia:

Okay, jeder weiß, dass es die größte Stadt in Pennsylvania ist und bla bla bla… aber was die Cyberkriminalität angeht, ist es auch eine aktualisierte Version des berüchtigten Stampado-Ransomware-Virus. In Phishing-E-Mails können Sie ihnen mit gefälschten Zahlungsmitteilungen begegnen. Diese Mails enthalten meist Links zu Philadelphias Websites, die mit Java-Anwendungen bereitgehalten werden, um Ransomware in Ihrem System zu installieren.

Siehe auch:  Top 5 Ransomware-Schutztools

Philadelphia beginnt nach einem erfolgreichen Eindringen in das System, Dateien mit verschiedenen Erweiterungen wie .doc,.bmp, .avi, .7z, .pdf usw. zu verschlüsseln. Sie können eine verschlüsselte Datei, die von Philadelphia gesperrt wurde, an ihrer Erweiterung als ' .locked ' erkennen. Beispielsweise würde eine Datei in Ihrem System mit dem Namen 'abc.bmp' verschlüsselt und in 'KD24KIH83483BJAKDF8JDR7.locked' umbenannt. Sobald Sie versuchen, die verschlüsselte Datei zu öffnen, öffnet Ransomware ein neues Fenster mit einer Lösegeldforderung in der Nachricht.

Die Lösegeldnachricht informiert Sie darüber, dass die Dateien verschlüsselt wurden und Sie sie für die Wiederherstellung bezahlen müssen. Philadelphia verwendet einen asymmetrischen Verschlüsselungsalgorithmus, der beim Verschlüsseln und Sperren der Dateien einen öffentlichen (Verschlüsselung) und einen privaten (Entschlüsselung) Schlüssel erstellt. Das Entschlüsseln der gesperrten Dateien ohne den privaten Schlüssel ist wie das Kochen eines Ozeans, da sie sich auf entfernten Servern befinden, die von Cyberkriminellen bewacht werden.

Das Fenster enthält zwei interessante Timer: Deadline und Russian Roulette. Während der Deadline-Timer die verbleibende Zeit zum Abrufen Ihres privaten Schlüssels anzeigt, zeigt das Russische Roulette die Zeit zum Löschen der nächsten Datei an (und drängt Sie, sie zu kaufen, ohne Zeit mit der Suche nach Hilfe zu verschwenden). Es ist zwar eine Drohung, aber das ist das einzige, was nicht gefälscht ist.

Bildquelle: forbes.com

Können Sie diese Situation vermeiden?

Jawohl. Sie können davor bewahrt werden , von der Philadelphia-Ransomware gehackt zu werden . Sie müssen Ihren Computer jedoch mit der besten Anti-Ransomware und Anti-Malware bewaffnet halten. Beachten Sie, dass einige Ransomware die beste Anti-Ransomware umgehen kann, daher ist die beste Vorgehensweise, ein wachsamer Benutzer zu werden und nicht auf ungewöhnliche und verdächtige Dinge zu klicken.

Siehe auch:  Top 5 Tipps zur Bekämpfung von Ransomware Havoc

Alles in allem kann man von Philadelphia Ransomware ausgehen, dass es sich um eine durchdringende Infektionsart handelt. Obwohl es jetzt nur die Gesundheitsorganisationen ins Visier genommen hat, können Sie auch ein Opfer sein, da der Quellcode dieses Virus für 400 US-Dollar über das Dark Web zum Verkauf angeboten wird. Jeder aufstrebende Cyberkriminelle kann den Code erhalten und nach Beute suchen. Es sollte helfen, Ihren Computer zu immunisieren und durch Antimalware und Anti-Ransomware zu schützen.