Filadelfijas Ransomware: jauna infekcija veselības aprūpes nozarē

Forcepoint, Teksasas drošības amatpersonas atklāja jaunu izspiedējvīrusu celmu, kas ir vērsts uz veselības aprūpes organizācijām. Filadelfijas izpirkuma programmatūra ir no Stampado ģimenes. Šis izpirkuma programmatūras komplekts tiek pārdots tiešsaistē par dažiem simtiem dolāru, un uzbrucēji pieprasa izpirkuma maksu Bitcoins.

Pētnieki atklāja, ka Filadelfijas izpirkuma programmatūra tiek pārsūtīta, izmantojot pikšķerēšanas e-pastus. Šādi e-pasta ziņojumi tiek nosūtīti slimnīcām ar ziņojuma pamattekstu ar saīsinātu URL, kas novirza uz personīgo krātuves vietu, kas apkalpo ieroču DOCX failu ar mērķtiecīgas veselības aprūpes organizācijas logotipu. Darbinieki tiek iesprostoti un galu galā noklikšķina uz šīm saitēm, kas liek izpirkuma programmatūrai iefiltrēties sistēmā.

Attēla avots: forcepoint.com

Tiklīdz izpirkuma programmatūra ir reģistrēta sistēmā, tā sazinās ar C&C serveri un pārsūta visu informāciju par upura datoru, piemēram, operētājsistēmu, valsti, sistēmas valodu un iekārtas lietotājvārdu. Pēc tam C&C serveris ģenerē upura ID, izpirkuma maksu un Bitcoin maka ID un nosūta to uz mērķa iekārtu.

Filadelfijas Ransomware izmantotā šifrēšanas metode ir AES-256, kas prasa izpirkuma maksu 0,3 Bitcoins, tiklīdz jūsu faili ir bloķēti. Tās aizraušanos ar veselības nozari var novērot pēc direktorija ceļa, kas parāda "slimnīca/surogātpasts" kā virkni savā šifrētajā JavaScript, kā arī "slimnīca/spa", kas atrodas tās C&C servera ceļā.

Attēla avots: funender.com

Kas ir Filadelfija:

Labi, visi zina, ka tā ir lielākā pilsēta Pensilvānijas štatā un bla bla bla… bet, ciktāl tas attiecas uz kibernoziegumiem, tā ir arī bēdīgi slavenā Stampado izspiedējvīrusa tipa atjaunināta versija. Pikšķerēšanas e-pastos jūs varat saskarties ar viltotiem paziņojumiem par kavētu maksājumu. Šajos e-pastos pārsvarā ir ietvertas saites uz Filadelfijas tīmekļa vietnēm, kuras tiek turētas kopā ar Java lietojumprogrammām, lai jūsu sistēmā instalētu izspiedējvīrusu programmatūru.

Skatiet arī:  5 populārākie Ransomware aizsardzības rīki

Pēc veiksmīgas ielaušanās sistēmā Filadelfija sāk šifrēt failus ar dažādiem paplašinājumiem, piemēram, .doc, .bmp, .avi, .7z, .pdf utt. Varat identificēt šifrētu failu, ko Filadelfija ir bloķējusi ar paplašinājumu .locked . Piemēram, jūsu sistēmā esošais fails ar nosaukumu “abc.bmp” tiks šifrēts un pārdēvēts par “KD24KIH83483BJAKDF8JDR7.locked”. Kad mēģināt atvērt šifrēto failu, izspiedējvīruss atver jaunu logu ar ziņojumā pieprasītu izpirkuma maksu.

Izpirkuma ziņojumā tiek informēts, ka faili ir šifrēti un jums ir jāmaksā, lai tie tiktu atjaunoti. Filadelfija izmanto asimetrisku šifrēšanas algoritmu, kas, šifrējot un bloķējot failus, izveido publiskas (šifrēšanas) un privātās (atšifrēšanas) atslēgas. Bloķēto failu atšifrēšana bez privātās atslēgas ir kā okeāna vārīšana, jo tie atrodas attālos serveros, kurus apsargā kibernoziedznieki.

Logā ir divi interesanti taimeri: Deadline un Russian Roulette. Kamēr termiņa taimeris norāda laiku, kas atlicis privātās atslēgas iegūšanai, Krievu rulete parāda nākamā faila dzēšanas laiku (spiežot to iegādāties, netaupot laiku palīdzības meklēšanai). Tas patiešām ir drauds, bet tas ir vienīgais, kas tajā nav viltots.

Attēla avots: forbes.com

Vai jūs varat izvairīties no šīs situācijas?

Jā. Jūs var paglābt no Filadelfijas izspiedējvīrusa zāģēšanas ; tomēr jums ir jāglabā dators ar vislabākajiem pretizspiedējvīrusu un ļaunprātīgas programmatūras apkarošanas līdzekļiem. Ņemiet vērā, ka dažas izspiedējvīrusu programmas var apiet labāko anti-ransomware, tāpēc labākā prakse ir kļūt par modru lietotāju un neklikšķināt uz nekā neparasta un aizdomīga.

Skatiet arī:  5 populārākie padomi, kā cīnīties pret izspiedējvīrusa postījumu

Ņemot vērā visu, Philadelphia Ransomware var uzskatīt par iekļūstošu infekcijas veidu. Lai gan tagad tas ir vērsts tikai uz veselības aprūpes organizācijām, taču arī jūs varat kļūt par upuri, jo šī vīrusa pirmkods tiek atvērts pārdošanai par 400 USD tumšajā tīmeklī. Jebkurš topošais kibernoziedznieks var iegūt kodu un sākt medīt laupījumu. Datora imunizācija un aizsardzība pret ļaunprātīgu programmatūru un pretizspiedējprogrammatūru vajadzētu palīdzēt.