Филаделфия Ransomware: Нова инфекция в здравната индустрия

Нов щам на ransomware беше открит от служители по сигурността на Forcepoint, Тексас, който е насочен към здравни организации. Откупът на Филаделфия е от семейството на Stampado. Този комплект за откуп се продава онлайн за няколкостотин долара и нападателите искат откуп под формата на биткойни.

Изследователите откриха, че ransomware от Филаделфия се пренася чрез фишинг имейли. Такива имейли се изпращат до болниците с тялото на съобщението със съкратен URL адрес, който насочва към лично пространство за съхранение, обслужващо оръжен DOCX файл с логото на целева здравна организация. Служителите попадат в капан и в крайна сметка щракват върху тези връзки, които карат ransomware да проникне в системата.

Източник на изображението: forcepoint.com

След като ransomware се установи в системата, той се свързва със сървъра за управление и управление и прехвърля цялата информация за компютъра на жертвата, като операционна система, държава, системен език и потребителско име на машината. След това C&C сървърът генерира идентификатор на жертвата, цена на откуп и идентификатор на биткойн портфейла и го изпраща до целевата машина.

Техниката за криптиране, използвана от Philadelphia Ransomware, е AES-256, която изисква откуп от 0,3 биткойна, след като приключи заключването на вашите файлове. Неговото поглъщане към здравната индустрия може да се наблюдава от пътя към директорията, който показва 'hospital/spam' като низ в своя криптиран JavaScript заедно с 'hospital/spa', съдържащ се в пътя на неговия C&C сървър.

Източник на изображението: funender.com

Какво е Филаделфия:

Добре, всички знаят, че това е най-големият град в Пенсилвания и бла-бла-бла... но що се отнася до киберпрестъпленията, това също е актуализирана версия на прословутия вирус тип ransomware Stampado. В фишинг имейли може да ги срещнете с фалшиви известия за просрочено плащане. Тези имейли включват предимно връзки към уебсайтовете на Филаделфия, които са готови с Java приложения за инсталиране на ransomware във вашата система.

Вижте също:  Топ 5 инструменти за защита от Ransomware

Филаделфия започва да криптира файлове с различни разширения като .doc,.bmp, .avi, .7z, .pdf и т.н., след успешно проникване в системата. Можете да идентифицирате криптиран файл, заключен от Филаделфия, с неговото разширение като „ .locked “. Например файл във вашата система с име 'abc.bmp' ще бъде криптиран и преименуван на 'KD24KIH83483BJAKDF8JDR7.locked'. След като се опитате да отворите криптирания файл, ransomware отваря нов прозорец с искан откуп в съобщение.

Съобщението за откуп ви информира, че файловете са криптирани и трябва да платите за възстановяването им. Филаделфия използва асиметричен алгоритъм за криптиране, който създава публичен (криптиране) и частен (декриптиране) ключ, докато криптира и заключва файловете. Декриптирането на заключените файлове без частния ключ е като кипене на океан, тъй като те се намират на отдалечени сървъри, охранявани от киберпрестъпници.

Прозорецът съдържа два интересни таймера: Краен срок и Руска рулетка. Докато таймерът за крайния срок показва оставащото време за получаване на вашия частен ключ, Руската рулетка показва времето за изтриване на следващия файл (принуждавайки ви да го купите, без да пестите време в търсене на помощ). Това наистина е заплаха, но това е единственото нещо, което не е фалшиво.

Източник на изображението: forbes.com

Можете ли да избегнете тази ситуация?

да. Можете да бъдете спасени от изрязване от Philadelphia ransomware ; обаче, трябва да поддържате компютъра си въоръжен с най-добрите анти рансъмуер и зловреден софтуер. Имайте предвид, че някои ransomware може да заобиколи най-добрия анти ransomware, така че най-добрата практика е да станете бдителен потребител и да не щраквате върху нещо необичайно и подозрително.

Вижте също:  Топ 5 съвета за борба срещу хаос на Ransomware

Като се има предвид всичко, Philadelphia Ransomware може да се приеме като проникващ тип инфекция. Въпреки че сега е насочен само към здравните организации, вие също можете да бъдете жертва, тъй като изходният код на този вирус е отворен за продажба за $400 в тъмната мрежа. Всеки амбициозен киберпрестъпник може да получи кода и да започне да търси плячка. Поддържането на компютъра ви имунизиран и защитен от анти-зловреден софтуер и анти-рансъмуер би трябвало да помогне.