Philadelphia Ransomware: Nová infekce ve zdravotnictví

Bezpečnostní představitelé Forcepoint v Texasu objevili nový kmen ransomwaru, který se zaměřuje na zdravotnické organizace. Philadelphia ransomware je z rodiny Stampado. Tato sada ransomwaru se prodává online za několik set dolarů a útočníci požadují výkupné ve formě bitcoinů.

Výzkumníci zjistili, že ransomware z Philadelphie se přenáší prostřednictvím e-mailů typu spear-phishing. Takové e-maily se zasílají do nemocnic s tělem zprávy se zkrácenou adresou URL, která směřuje k osobnímu úložnému prostoru, který slouží jako zbraňový soubor DOCX s logem cílové zdravotnické organizace. Zaměstnanci se dostanou do pasti a nakonec kliknou na tyto odkazy, které způsobí, že ransomware pronikne do systému.

Zdroj obrázku: forcepoint.com

Jakmile je ransomware zaveden v systému, kontaktuje server C&C a přenese všechny informace o počítači oběti, jako je operační systém, země, jazyk systému a uživatelské jméno počítače. Server C&C poté vygeneruje ID oběti, cenu výkupného a ID bitcoinové peněženky a odešle je do cílového počítače.

Šifrovací technika používaná Philadelphia Ransomware je AES-256, která po ukončení uzamčení souborů vyžaduje výkupné ve výši 0,3 bitcoinů. Jeho zaujetí zdravotnickým průmyslem lze pozorovat podle cesty k adresáři, která v zašifrovaném JavaScriptu zobrazuje řetězec 'nemocnice/spam' spolu s 'nemocnice/lázně' obsažené v cestě serveru C&C.

Zdroj obrázku: funender.com

Co je Philadelphia:

Dobře, každý ví, že je to největší město v Pensylvánii a bla bla bla... ale pokud jde o počítačovou kriminalitu, je to také aktualizovaná verze notoricky známého viru typu ransomware Stampado. V phishingových e-mailech se můžete setkat s falešnými oznámeními o prodlení. Tyto e-maily většinou obsahují odkazy na webové stránky Philadelphie, které jsou připraveny pomocí aplikací Java k instalaci ransomwaru do vašeho systému.

Viz také:  Top 5 nástrojů ochrany proti ransomwaru

Po úspěšném vniknutí do systému začne Philadelphia šifrovat soubory s různými příponami jako .doc, .bmp, .avi, .7z, .pdf atd. Zašifrovaný soubor uzamčený Philadelphií s jeho příponou můžete identifikovat jako ' .locked '. Například soubor ve vašem systému s názvem 'abc.bmp' by byl zašifrován a přejmenován na 'KD24KIH83483BJAKDF8JDR7.locked'. Jakmile se pokusíte otevřít zašifrovaný soubor, ransomware otevře nové okno se zprávou o výkupném.

Zpráva o výkupném vás informuje, že soubory byly zašifrovány a že za jejich obnovení musíte zaplatit. Philadelphia používá asymetrický šifrovací algoritmus, který při šifrování a zamykání souborů vytváří veřejný (šifrovací) a soukromý (dešifrovací) klíč. Dešifrování zamčených souborů bez soukromého klíče je jako vaření oceánu, protože jsou umístěny na vzdálených serverech hlídaných kybernetickými zločinci.

Okno obsahuje dva zajímavé časovače: Deadline a Russian Roulette. Zatímco časovač uzávěrky ukazuje čas zbývající do získání vašeho soukromého klíče, ruská ruleta ukazuje čas pro smazání dalšího souboru (tlačí vás ke koupi, aniž byste ušetřili čas při hledání pomoci). Je to skutečně hrozba, ale to je jediná věc, která na tom není falešná.

Zdroj obrázku: forbes.com

Můžete se této situaci vyhnout?

Ano. Můžete být zachráněni před pořezáním ransomwarem Philadelphia ; svůj počítač však musíte mít vyzbrojený tím nejlepším anti ransomwarem a antimalwarem. Všimněte si, že některý ransomware může obejít nejlepší anti ransomware, takže nejlepším postupem je stát se bdělým uživatelem a neklikat na nic neobvyklého a podezřelého.

Viz také:  5 nejlepších tipů, jak bojovat proti ransomwarové katastrofě

Vzhledem ke všemu lze Philadelphia Ransomware považovat za pronikající typ infekce. Ačkoli se nyní zaměřil pouze na zdravotnické organizace, můžete se stát obětí i vy, protože zdrojový kód tohoto viru je otevřen k prodeji za 400 dolarů přes temný web. Každý aspirující kyberzločinec může získat kód a začít lovit kořist. Pomoci by mělo udržení vašeho počítače imunního a chráněného antimalwarem a anti-ransomwarem.