Philadelphia lunavara: uus infektsioon tervishoiutööstuses

Texase Forcepointi turvaametnikud avastasid uue lunavaratüve, mis on suunatud tervishoiuorganisatsioonidele. Philadelphia lunavara on pärit Stampado perekonnast. Seda lunavarakomplekti müüakse võrgus mõnesaja dollari eest ja ründajad nõuavad lunaraha Bitcoinide kujul.

Teadlased leidsid, et Philadelphia lunavara edastatakse andmepüügi e-kirjade kaudu. Sellised meilid saadetakse haiglatele koos lühendatud URL-iga, mis suunab isikliku salvestusruumi poole, mis teenindab sihitud tervishoiuorganisatsiooni logoga relvastatud DOCX-faili. Töötajad jäävad lõksu ja klõpsavad lõpuks nendel linkidel, mis panevad lunavara süsteemi imbuma.

Pildi allikas: forcepoint.com

Kui lunavara on süsteemi sisse seatud, võtab see ühendust C&C serveriga ja edastab kogu teabe ohvri arvuti kohta, nagu operatsioonisüsteem, riik, süsteemi keel ja masina kasutajanimi. Seejärel genereerib C&C server ohvri ID, lunaraha ja Bitcoini rahakoti ID ning saadab selle sihitud masinasse.

Philadelphia Ransomware kasutatav krüpteerimistehnika on AES-256, mis nõuab teie failide lukustamise lõpetamisel lunaraha 0,3 Bitcoini. Selle süvenemist tervishoiutööstusesse võib täheldada kataloogitee kaudu, mis näitab krüpteeritud JavaScriptis stringina "haigla/rämpspost" koos C&C serveriteel sisalduva "haigla/spa"-ga.

Pildi allikas: funender.com

Mis on Philadelphia:

Olgu, kõik teavad, et see on Pennsylvania suurim linn ja bla-bla-bla… aga mis puudutab küberkuritegevust, siis see on ka kurikuulsa Stampado lunavara tüüpi viiruse uuendatud versioon. Andmepüügi e-kirjades võite neid kohata võltsitud maksetähtaja teatistega. Need kirjad sisaldavad enamasti linke Philadelphia veebisaitidele, mida hoitakse Java-rakendustega valmis teie süsteemi lunavara installimiseks.

Vaadake ka:  5 populaarseimat lunavarakaitse tööriista

Philadelphia alustab pärast edukat süsteemi tungimist erinevate laienditega failide krüptimist, nagu .doc, .bmp, .avi, .7z, .pdf jne. Saate tuvastada krüptitud faili, mille Philadelphia on lukustanud laiendiga .locked . Näiteks teie süsteemis olev fail nimega "abc.bmp" krüpteeritakse ja nimetatakse ümber "KD24KIH83483BJAKDF8JDR7.locked". Kui proovite krüptitud faili avada, avab lunavara uue akna, kus sõnumis nõutakse lunaraha.

Lunarahateade teavitab teid, et failid on krüptitud ja peate nende taastamise eest maksma. Philadelphia kasutab asümmeetrilist krüpteerimisalgoritmi, mis loob failide krüptimisel ja lukustamisel avaliku (krüpteerimine) ja privaatvõtmed (dekrüpteerimine). Lukustatud failide dekrüpteerimine ilma privaatvõtmeta on nagu ookeani keetmine, kuna need asuvad kaugserverites, mida valvavad küberkurjategijad.

Aknas on kaks huvitavat taimerit: tähtaeg ja vene rulett. Kui tähtaja taimer näitab privaatvõtme hankimiseni jäänud aega, siis vene rulett näitab aega järgmise faili kustutamiseks (tõukab teid selle ostma ilma abi otsimisel aega kokku hoidmata). See on tõepoolest oht, kuid see on ainus asi, mis pole võlts.

Pildi allikas: forbes.com

Kas saate seda olukorda vältida?

Jah. Teid võib päästa Philadelphia lunavara saagimise eest ; Siiski peate hoidma oma arvutit relvastatud parima lunavara- ja pahavaratõrjega. Pange tähele, et mõni lunavara võib parimast lunavaratõrjest mööda hiilida, seega on parim tava saada valvsaks kasutajaks ja mitte klõpsata millelgi ebatavalisel ja kahtlasel.

Vaadake ka:  5 parimat näpunäidet lunavarahäda vastu võitlemiseks

Kõike arvesse võttes võib Philadelphia Ransomware’i pidada läbitungivaks infektsioonitüübiks. Ehkki see on nüüd suunatud ainult tervishoiuorganisatsioonidele, võite ka ohver olla, kuna selle viiruse lähtekood avatakse tumedas veebis 400 dollari eest. Iga küberkurjategijaks pürgija võib koodi kätte saada ja saaki jahtima hakata. Arvuti kaitsmine pahavara- ja lunavaratõrjega peaks aitama.