Philadelphia Ransomware: Új fertőzés az egészségügyben

A texasi Forcepoint biztonsági tisztviselői egy új ransomware-törzset fedeztek fel, amely egészségügyi szervezeteket céloz meg. A Philadelphia ransomware a Stampado családból származik. Ezt a ransomware készletet néhány száz dollárért árulják az interneten, és a támadók váltságdíjat követelnek Bitcoinok formájában.

A kutatók azt találták, hogy a Philadelphia ransomware-t lándzsás adathalász e-maileken keresztül továbbítják. Az ilyen e-maileket egy rövidített URL-címmel küldik el a kórházaknak, amely a célzott egészségügyi szervezet logójával ellátott fegyveres DOCX-fájlt kiszolgáló személyes tárhelyre mutat. Az alkalmazottak csapdába esnek, és végül ezekre a linkekre kattintanak, amelyek hatására a zsarolóvírus beszivárog a rendszerbe.

Kép forrása: forcepoint.com

Amint a zsarolóprogram bekerült a rendszerbe, kapcsolatba lép a C&C szerverrel, és továbbítja az áldozat számítógépére vonatkozó összes információt, például az operációs rendszert, az országot, a rendszer nyelvét és a gép felhasználónevét. A C&C szerver ezután létrehoz egy áldozatazonosítót, váltságdíjat és Bitcoin pénztárcaazonosítót, és elküldi a megcélzott gépnek.

A Philadelphia Ransomware által használt titkosítási technika az AES-256, amely 0,3 Bitcoin váltságdíjat követel, miután befejezte a fájlok zárolását. Az egészségügyi ipar iránti elkötelezettsége megfigyelhető a könyvtár elérési útján, amely a „hospital/spam”-t karakterláncként jeleníti meg a titkosított JavaScript-kódjában, valamint a „kórház/spa”-t a C&C szerver útvonalában.

Kép forrása: funender.com

Mi az a Philadelphia:

Oké, mindenki tudja, hogy ez Pennsylvania legnagyobb városa, és bla-bla-bla… de ami a kiberbűnözést illeti, ez egyben a hírhedt Stampado ransomware típusú vírus frissített változata is. Az adathalász e-mailekben hamis késedelmes fizetési értesítésekkel találkozhat. Ezek az e-mailek többnyire Philadelphia webhelyeire mutató hivatkozásokat tartalmaznak, amelyeket Java-alkalmazásokkal tartanak készen a zsarolóvírusok rendszerére való telepítésére.

Lásd még:  Az 5 legjobb zsarolóvírus elleni védelmi eszköz

A Philadelphia a rendszerbe való sikeres behatolás után elkezdi titkosítani a különféle kiterjesztésű fájlokat, például .doc, .bmp, .avi, .7z, .pdf stb. A Philadelphia által zárolt, „ .locked ” kiterjesztésű titkosított fájlokat azonosíthatja . Például a rendszerben lévő „abc.bmp” nevű fájl titkosítva lesz, és „KD24KIH83483BJAKDF8JDR7.locked”-re nevezi át. Miután megpróbálja megnyitni a titkosított fájlt, a ransomware új ablakot nyit meg, amelyben a váltságdíjat üzenetben kérik.

A váltságdíj üzenet arról tájékoztat, hogy a fájlok titkosítva lettek, és fizetnie kell a visszaállításért. A Philadelphia aszimmetrikus titkosítási algoritmust használ, amely nyilvános (titkosítási) és privát (titkosítási) kulcsokat hoz létre, miközben titkosítja és zárolja a fájlokat. A zárolt fájlok privát kulcs nélküli visszafejtése olyan, mintha egy óceánt forrna, mivel a számítógépes bűnözők által őrzött távoli szervereken találhatók.

Az ablakban két érdekes időzítő található: a határidő és az orosz rulett. Míg a határidő időzítője a privát kulcs megszerzéséig hátralévő időt jelzi, az orosz rulett a következő fájl törlésének idejét mutatja (ezt arra készteti, hogy megvásárolja azt anélkül, hogy időt kímélne a segítség keresésével). Ez valóban fenyegetés, de ez az egyetlen dolog, ami nem hamis.

A kép forrása: forbes.com

El tudod kerülni ezt a helyzetet?

Igen. Megmentheti a Philadelphia ransomware általi fűrészeléstől ; mindazonáltal számítógépét a legjobb ransomware- és kártevőirtókkal kell felvérteznie. Ne feledje, hogy egyes zsarolóprogramok megkerülhetik a legjobb zsarolóvírus-ellenes programokat, ezért a legjobb gyakorlat az, ha éber felhasználóvá válik, és nem kattint semmi szokatlanra és gyanúsra.

Lásd még:  Az 5 legjobb tipp a zsarolóvírus-pusztítás elleni küzdelemhez

Mindent figyelembe véve a Philadelphia Ransomware egy átható fertőzéstípusnak tekinthető. Bár most már csak az egészségügyi szervezeteket célozta meg, de Ön is áldozat lehet, mivel a vírus forráskódja 400 dolláros eladásra nyílik meg a sötét weben. Bármely kiberbûnözõre törõdõ ember megkaphatja a kódot, és elkezdhet zsákmányra vadászni. Segíthet, ha számítógépét védi a kártevők és zsarolóprogramok elleni védelemmel.