Philadelphia Ransomware: nowa infekcja w branży medycznej

Urzędnicy ds. bezpieczeństwa z Forcepoint w Teksasie odkryli nowy szczep ransomware, który atakuje organizacje opieki zdrowotnej. Oprogramowanie ransomware Philadelphia pochodzi z rodziny Stampado. Ten zestaw oprogramowania ransomware jest sprzedawany online za kilkaset dolarów, a atakujący żądają okupu w postaci Bitcoinów.

Badacze odkryli, że oprogramowanie ransomware Philadelphia jest przenoszone za pośrednictwem wiadomości e-mail typu spear-phishing. Takie e-maile są wysyłane do szpitali z treścią wiadomości o skróconym adresie URL, która kieruje do osobistej przestrzeni dyskowej zawierającej uzbrojony plik DOCX z logo docelowej organizacji opieki zdrowotnej. Pracownicy zostają uwięzieni i klikają te linki, które powodują, że ransomware infiltruje system.

Źródło obrazu: forcepoint.com

Gdy ransomware zostanie zainstalowany w systemie, kontaktuje się z serwerem C&C i przesyła wszystkie informacje o komputerze ofiary, takie jak system operacyjny, kraj, język systemu i nazwa użytkownika komputera. Serwer C&C generuje następnie identyfikator ofiary, cenę okupu oraz identyfikator portfela Bitcoin i wysyła go do docelowej maszyny.

Technika szyfrowania używana przez Philadelphia Ransomware to AES-256, która wymaga okupu w wysokości 0,3 Bitcoina po zakończeniu blokowania plików. Jego zaangażowanie w branżę zdrowotną można zaobserwować w ścieżce katalogu, która pokazuje „szpital/spam” jako ciąg w zaszyfrowanym JavaScript wraz z „szpital/spa” zawartym w ścieżce serwera C&C.

Źródło obrazu: funender.com

Co to jest Filadelfia:

Ok, wszyscy wiedzą, że to największe miasto w Pensylwanii i bla bla bla… ale jeśli chodzi o cyberprzestępczość, jest to również zaktualizowana wersja znanego wirusa typu ransomware Stampado. W wiadomościach phishingowych możesz napotkać fałszywe powiadomienia o zaległych płatnościach. Te e-maile zawierają w większości linki do stron internetowych Filadelfii, które są przygotowane z aplikacjami Java do instalacji ransomware w twoim systemie.

Zobacz też:  5 najlepszych narzędzi do ochrony przed ransomware

Philadelphia zaczyna szyfrować pliki z różnymi rozszerzeniami, takimi jak .doc, .bmp, .avi, .7z, .pdf itp., po udanym włamaniu do systemu. Możesz zidentyfikować zaszyfrowany plik zablokowany przez Philadelphia z rozszerzeniem „ .locked ”. Na przykład plik w twoim systemie o nazwie 'abc.bmp' zostanie zaszyfrowany i zmieni nazwę na 'KD24KIH83483BJAKDF8JDR7.locked'. Gdy spróbujesz otworzyć zaszyfrowany plik, ransomware otworzy nowe okno z żądaniem okupu w wiadomości.

Wiadomość z okupem informuje, że pliki zostały zaszyfrowane i musisz zapłacić za ich odzyskanie. Philadelphia używa algorytmu szyfrowania asymetrycznego, który tworzy klucze publiczne (szyfrowania) i prywatne (deszyfrowania) podczas szyfrowania i blokowania plików. Odszyfrowywanie zablokowanych plików bez klucza prywatnego jest jak gotowanie się w oceanie, ponieważ znajdują się one na zdalnych serwerach strzeżonych przez cyberprzestępców.

W oknie znajdują się dwa ciekawe liczniki czasu: termin i rosyjska ruletka. Podczas gdy licznik czasu wskazuje czas pozostały do ​​uzyskania klucza prywatnego, rosyjska ruletka pokazuje czas, w którym należy usunąć następny plik (popychając Cię do zakupu bez poświęcania czasu na szukanie pomocy). To rzeczywiście zagrożenie, ale to jedyna rzecz, która nie jest fałszywa.

Źródło obrazu: forbes.com

Czy możesz uniknąć tej sytuacji?

Tak. Możesz zostać uratowany przed atakiem ransomware'a Philadelphia ; jednak musisz mieć swój komputer uzbrojony w najlepsze oprogramowanie anty ransomware i antimalware. Pamiętaj, że niektóre programy ransomware mogą obejść najlepsze oprogramowanie antyransomware, więc najlepszą praktyką jest stanie się czujnym użytkownikiem i nie klikanie niczego niezwykłego i podejrzanego.

Zobacz też:  5 najlepszych wskazówek dotyczących walki z ransomware Havoc

Biorąc wszystko pod uwagę, Philadelphia Ransomware można uznać za przenikliwy rodzaj infekcji. Chociaż teraz jest skierowany tylko do organizacji opieki zdrowotnej, ale możesz być również ofiarą, ponieważ kod źródłowy tego wirusa jest otwierany do sprzedaży za 400 USD w ciemnej sieci. Każdy aspirujący cyberprzestępca może zdobyć kod i zacząć polować na ofiarę. Powinno pomóc chronić komputer i chronić go przed oprogramowaniem chroniącym przed złośliwym oprogramowaniem i oprogramowaniem ransomware.