Philadelphia Ransomware: Uusi infektio terveydenhuoltoalalla

Teksasin Forcepointin turvallisuusviranomaiset löysivät uuden kiristysohjelmakannan, joka on suunnattu terveydenhuoltoorganisaatioille. Philadelphia ransomware on Stampado-perheestä. Tätä lunnasohjelmasarjaa myydään verkossa muutamalla sadalla dollarilla, ja hyökkääjät vaativat lunnaita Bitcoinien muodossa.

Tutkijat havaitsivat, että Philadelphia ransomware kuljetetaan keihäs-phishing sähköpostien kautta. Tällaiset sähköpostit lähetetään sairaaloille lyhennetyn URL-osoitteen tekstiosassa, joka ohjaa henkilökohtaiseen tallennustilaan, joka palvelee aseistettua DOCX-tiedostoa, jossa on kohdennetun terveydenhuollon organisaation logo. Työntekijät jäävät loukkuun ja päätyvät napsauttamaan näitä linkkejä, jotka saavat kiristysohjelman soluttautumaan järjestelmään.

Kuvan lähde: forcepoint.com

Kun kiristysohjelma on löydetty järjestelmään, se ottaa yhteyttä C&C-palvelimeen ja siirtää kaikki tiedot uhrin tietokoneesta, kuten käyttöjärjestelmä, maa, järjestelmän kieli ja koneen käyttäjätunnus. C&C-palvelin luo sitten uhritunnuksen, lunnaan hinnan ja Bitcoin-lompakkotunnuksen ja lähettää sen kohdekoneelle.

Philadelphia Ransomwaren käyttämä salaustekniikka on AES-256, joka vaatii 0,3 Bitcoinin lunnaita, kun tiedostosi on lukittu. Sen kiinnostus terveydenhuoltoalaan voidaan havaita hakemistopolulla, joka näyttää "sairaala/spam" merkkijonona sen salatussa JavaScriptissä sekä "sairaala/kylpylä" sen C&C-palvelinpolussa.

Kuvan lähde: funender.com

Mikä on Philadelphia:

Okei, kaikki tietävät, että se on Pennsylvanian suurin kaupunki ja blaa blaa… mutta mitä tulee verkkorikollisuuteen, se on myös päivitetty versio pahamaineisesta Stampado ransomware -tyyppisestä viruksesta. Tietojenkalasteluviesteissä saatat kohdata väärennettyjä myöhästymisilmoituksia. Nämä sähköpostit sisältävät enimmäkseen linkkejä Philadelphian verkkosivustoille, jotka pidetään valmiina Java-sovelluksilla kiristysohjelmien asentamiseksi järjestelmääsi.

Katso myös:  5 parasta ransomware-suojaustyökalua

Philadelphia aloittaa tiedostojen salaamisen eri tunnisteilla, kuten .doc, .bmp, .avi, .7z, .pdf jne. onnistuneen tunkeutumisen jälkeen järjestelmään. Voit tunnistaa Philadelphian lukitseman salatun tiedoston, jonka tunniste on .locked . Esimerkiksi järjestelmässäsi oleva tiedosto, jonka nimi on "abc.bmp", salataan ja nimetään uudelleen nimellä "KD24KIH83483BJAKDF8JDR7.locked". Kun yrität avata salatun tiedoston, ransomware avaa uuden ikkunan, jossa vaaditaan lunnaita viestissä.

Lunnasviesti ilmoittaa, että tiedostot on salattu ja sinun on maksettava niiden palauttaminen. Philadelphia käyttää epäsymmetristä salausalgoritmia, joka luo julkiset (salaus) ja yksityiset (salauksen purku) avaimet samalla kun se salaa ja lukitsee tiedostoja. Lukittujen tiedostojen salauksen purkaminen ilman yksityistä avainta on kuin valtameren kiehumista, koska ne sijaitsevat etäpalvelimilla, joita verkkorikolliset suojelevat.

Ikkunassa on kaksi mielenkiintoista ajastinta: Deadline ja Russian Roulette. Vaikka määräajan ajastin näyttää yksityisen avaimesi saamiseen jäljellä olevan ajan, venäläinen ruletti näyttää ajan seuraavan tiedoston poistamiseen (työntämällä sinua ostamaan sen ilman aikaa avun etsimiseen). Se on todellakin uhka, mutta se on ainoa asia, joka ei ole väärennös.

Kuvan lähde: forbes.com

Voitko välttää tämän tilanteen?

Joo. Voit pelastua Philadelphia ransomware - ohjelman sahaamisesta ; Sinun on kuitenkin pidettävä tietokoneesi aseistettuna parhailla ransomware- ja haittaohjelmien torjuntaohjelmilla. Huomaa, että jotkin kiristysohjelmat saattavat kiertää parhaan kiristysohjelmien torjuntaohjelman, joten paras käytäntö on ryhtyä valppaaksi käyttäjäksi etkä klikkaa mitään epätavallista ja epäilyttävää.

Katso myös:  5 parasta vinkkiä kiristysohjelmien tuhon torjuntaan

Kaiken huomioon ottaen Philadelphia Ransomwaren voidaan olettaa läpitunkevana infektiotyyppinä. Vaikka se on nyt kohdistettu vain terveydenhuoltoorganisaatioihin, voit myös olla uhri, koska tämän viruksen lähdekoodi avataan myyntiin 400 dollarilla pimeässä verkossa. Jokainen kyberrikollinen pyrkivä voi saada koodin ja alkaa metsästämään saalista. Tietokoneen pitäminen immunisoituna ja suojattu haittaohjelmien ja kiristysohjelmien torjuntaan auttaa sinua.