Filadelfia Ransomware: Infeksion i ri në industrinë e kujdesit shëndetësor

Një lloj i ri ransomware u zbulua nga zyrtarët e sigurisë të Forcepoint, Teksas që synon organizatat e kujdesit shëndetësor. ransomware Philadelphia është nga familja Stampado. Ky komplet ransomware shitet në internet për disa qindra dollarë dhe sulmuesit kërkojnë shpërblim në formën e Bitcoins.

Studiuesit zbuluan se ransomware i Philadelphia transportohet përmes postës elektronike spear-phishing. Email të tillë u dërgohen spitaleve me një trup mesazhi me një URL të shkurtuar që drejton drejt një hapësire ruajtjeje personale që shërben një skedar DOCX të armatosur me logon e organizatës së synuar të kujdesit shëndetësor. Punonjësit bllokohen dhe përfundojnë duke klikuar në këto lidhje që bëjnë që ransomware të depërtojë në sistem.

Burimi i imazhit: forcepoint.com

Pasi ransomware vendoset në sistem, ai kontakton serverin C&C dhe transferon të gjithë informacionin në lidhje me kompjuterin viktimë, si sistemin operativ, shtetin, gjuhën e sistemit dhe emrin e përdoruesit të makinës. Serveri C&C më pas gjeneron një ID të viktimës, çmimin e shpërblimit dhe ID-në e portofolit Bitcoin dhe e dërgon atë në makinën e synuar.

Teknika e enkriptimit e përdorur nga Philadelphia Ransomware është AES-256, e cila kërkon një shpërblim prej 0,3 Bitcoin pasi të përfundojë mbyllja e skedarëve tuaj. Përfshirja e tij drejt industrisë së shëndetësisë mund të vërehet nga shtegu i drejtorisë që tregon 'spital/spam' si një varg në JavaScript-in e tij të koduar së bashku me 'spital/spa' që gjendet në shtegun e tij të serverit C&C.

Burimi i imazhit: funender.com

Çfarë është Filadelfia:

Mirë, të gjithë e dinë që është qyteti më i madh në Pensilvani dhe bla bla bla… por për sa i përket krimit kibernetik, ai është gjithashtu një version i përditësuar i virusit famëkeq të tipit ransomware Stampado. Në emailet e phishing, mund t'i hasni me njoftime të rreme të pagesave të vonuara. Këto posta kryesisht përfshijnë lidhje me faqet e internetit të Filadelfias, të cilat mbahen gati me aplikacionet Java për të instaluar ransomware në sistemin tuaj.

Shihni gjithashtu:  5 Mjetet kryesore të Mbrojtjes së Ransomware

Filadelfia fillon të enkriptojë skedarët me shtesa të ndryshme si .doc,.bmp, .avi, .7z, .pdf etj., pas një ndërhyrjeje të suksesshme në sistem. Ju mund të identifikoni një skedar të koduar të kyçur nga Philadelphia me shtrirjen e tij si ' .i kyçur '. Për shembull, një skedar në sistemin tuaj me emrin "abc.bmp" do të kodohet dhe do të riemërtohet si "KD24KIH83483BJAKDF8JDR7.locked". Pasi të përpiqeni të hapni skedarin e koduar, ransomware hap një dritare të re me një shpërblim të kërkuar në mesazh.

Mesazhi i shpërblesës ju informon se skedarët janë të koduar dhe ju duhet t'i paguani për t'i rikthyer. Filadelfia përdor një algoritëm enkriptimi asimetrik, i cili krijon një çelës publik (kriptim) dhe privat (dekriptim) ndërsa kodon dhe bllokon skedarët. Deshifrimi i skedarëve të kyçur pa çelësin privat është si zierja e një oqeani pasi ato ndodhen në serverë të largët të ruajtur nga kriminelët kibernetikë.

Dritarja përmban dy kohëmatës interesant: Afati dhe Ruleta Ruse. Ndërsa kohëmatësi i afatit tregon se koha e mbetur për të marrë çelësin tuaj privat, Ruleta Ruse tregon kohën për të fshirë skedarin tjetër (duke ju shtyrë ta blini pa kursyer kohë për të kërkuar ndihmë). Është me të vërtetë një kërcënim, por kjo është e vetmja gjë që nuk është e rreme.

Burimi i imazhit: forbes.com

A mund ta shmangni këtë situatë?

Po. Ju mund të shpëtoheni nga sharrimi nga ransomware i Philadelphia ; megjithatë, ju duhet ta mbani kompjuterin tuaj të armatosur me programet më të mira kundër ransomware dhe antimalware. Vini re se disa ransomware mund të anashkalojnë anti-ransomware-in më të mirë, kështu që praktika më e mirë është të bëheni një përdorues vigjilent dhe të mos klikoni mbi ndonjë gjë të pazakontë dhe të dyshimtë.

Shihni gjithashtu:  5 këshillat kryesore për të luftuar kundër shkatërrimit të Ransomware

Duke marrë parasysh gjithçka, Philadelphia Ransomware mund të supozohet si një lloj infeksioni depërtues. Edhe pse tani ka synuar vetëm organizatat e kujdesit shëndetësor, por edhe ju mund të jeni viktimë pasi kodi burimor i këtij virusi është hapur për shitje për 400 dollarë në rrjetin e errët. Çdo kriminel kibernetik që aspiron mund të marrë kodin dhe të fillojë të gjuajë për një pre. Mbajtja e kompjuterit tuaj të imunizuar dhe të mbrojtur nga antimalware dhe anti-ransomware duhet të ndihmojë.