Philadelphia Ransomware: nieuwe infectie in de gezondheidszorg

Beveiligingsfunctionarissen van Forcepoint, Texas hebben een nieuwe ransomware-stam ontdekt die zich richt op zorgorganisaties. De Philadelphia ransomware is van de Stampado-familie. Deze ransomware-kit wordt online verkocht voor een paar honderd dollar en aanvallers eisen losgeld in de vorm van Bitcoins.

Onderzoekers ontdekten dat Philadelphia-ransomware wordt vervoerd via spear-phishing-e-mails. Dergelijke e-mails worden naar de ziekenhuizen gestuurd met een berichttekst van een verkorte URL die verwijst naar een persoonlijke opslagruimte die een bewapend DOCX-bestand bedient met het logo van een gerichte zorgorganisatie. De medewerkers komen vast te zitten en klikken op deze links die de ransomware in het systeem laten infiltreren.

Afbeeldingsbron: forcepoint.com

Zodra de ransomware in het systeem is geïnstalleerd, neemt het contact op met de C&C-server en verzendt het alle informatie over de computer van het slachtoffer, zoals het besturingssysteem, het land, de systeemtaal en de gebruikersnaam van de machine. De C&C-server genereert vervolgens een slachtoffer-ID, losgeldprijs en Bitcoin-portemonnee-ID en stuurt deze naar de beoogde machine.

De coderingstechniek die wordt gebruikt door Philadelphia Ransomware is AES-256, die een losgeld van 0,3 Bitcoins vereist zodra het klaar is met het vergrendelen van uw bestanden. Zijn belangstelling voor de gezondheidsindustrie kan worden waargenomen door het directorypad dat 'ziekenhuis/spam' als een tekenreeks in zijn versleutelde JavaScript laat zien, samen met 'ziekenhuis/spa' in zijn C&C-serverpad.

Afbeeldingsbron: funender.com

Wat is Philadelphia:

Oké, iedereen weet dat het de grootste stad van Pennsylvania is en bla bla bla… maar wat cybercriminaliteit betreft, is het ook een bijgewerkte versie van het beruchte Stampado ransomware-type virus. In phishing-e-mails kunt u ze tegenkomen met valse betalingsberichten. Deze e-mails bevatten meestal links naar de websites van Philadelphia, die gereed worden gehouden met Java-applicaties om ransomware op uw systeem te installeren.

Zie ook:  Top 5 hulpprogramma's voor bescherming tegen ransomware

Philadelphia begint met het versleutelen van bestanden met verschillende extensies zoals .doc,.bmp, .avi, .7z, .pdf enz., na een succesvolle inbraak in het systeem. U kunt een versleuteld bestand dat door Philadelphia is vergrendeld, identificeren met de extensie ' .locked '. Een bestand in uw systeem met de naam 'abc.bmp' zou bijvoorbeeld worden versleuteld en hernoemd als 'KD24KIH83483BJAKDF8JDR7.locked'. Zodra u het versleutelde bestand probeert te openen, opent de ransomware een nieuw venster met het gevraagde losgeld in het bericht.

Het losgeldbericht informeert u dat de bestanden zijn versleuteld en dat u moet betalen om ze te herstellen. Philadelphia gebruikt een asymmetrisch coderingsalgoritme dat een openbare (codering) en privé (decodering) sleutels creëert tijdens het coderen en vergrendelen van de bestanden. Het ontsleutelen van de vergrendelde bestanden zonder de privésleutel is als het koken van een oceaan, aangezien ze zich op externe servers bevinden die worden bewaakt door cybercriminelen.

Het venster bevat twee interessante timers: Deadline en Russian Roulette. Terwijl de deadline-timer de resterende tijd aangeeft om uw privésleutel te verkrijgen, toont de Russische roulette de tijd om het volgende bestand te verwijderen (u pusht om het te kopen zonder tijd te besparen bij het zoeken naar hulp). Het is inderdaad een bedreiging, maar dat is het enige dat niet nep is.

Afbeeldingsbron: forbes.com

Kunt u deze situatie vermijden?

Ja. U kunt worden verlost van gezaagd worden door Philadelphia ransomware ; u moet uw computer echter gewapend houden met de beste anti-ransomware en antimalware. Houd er rekening mee dat sommige ransomware de beste anti-ransomware kan omzeilen, dus de beste methode is om een ​​waakzame gebruiker te worden en niet op iets ongewoons en verdachts te klikken.

Zie ook:  Top 5 tips om te vechten tegen Ransomware Havoc

Alles in aanmerking genomen, kan Philadelphia Ransomware worden aangenomen als een indringend type infectie. Hoewel het nu alleen gericht is op zorgorganisaties, kun je ook het slachtoffer worden, aangezien de broncode van dit virus voor $ 400 via het dark web te koop wordt aangeboden. Elke aspirant-cybercrimineel kan de code krijgen en op jacht gaan naar een prooi. Het zou moeten helpen om uw computer geïmmuniseerd en bewaakt te houden door antimalware en anti-ransomware.