Філадельфійське програмне забезпечення-вимагач: нова інфекція в галузі охорони здоров’я

Співробітники служби безпеки Forcepoint, штат Техас, виявили новий штам програмного забезпечення-вимагача, який націлений на медичні організації. Філадельфійська програма-вимагач належить до сімейства Stampado. Цей набір програм-вимагачів продається в Інтернеті за кілька сотень доларів, і зловмисники вимагають викуп у формі біткойнів.

Дослідники виявили, що програмне забезпечення-вимагач у Філадельфії передається через фішингові електронні листи. Такі електронні листи надсилаються до лікарень із тілом повідомлення зі скороченою URL-адресою, яка спрямовує на особисте сховище, яке обслуговує озброєний файл DOCX з логотипом цільової організації охорони здоров’я. Співробітники потрапляють у пастку і в кінцевому підсумку натискають ці посилання, які змушують програму-вимагач проникнути в систему.

Джерело зображення: forcepoint.com

Щойно програмне забезпечення-вимагач встановлено в системі, воно зв’язується з сервером керування та передає всю інформацію про комп’ютер жертви, наприклад операційну систему, країну, мову системи та ім’я користувача машини. Потім C&C-сервер генерує ідентифікатор жертви, ціну викупу та ідентифікатор гаманця біткойн і надсилає їх на цільову машину.

Методом шифрування, який використовується Philadelphia Ransomware, є AES-256, який вимагає викуп у розмірі 0,3 біткойна після завершення блокування ваших файлів. Його прихильність до галузі охорони здоров’я можна спостерігати за шляхом до каталогу, який показує «hospital/spam» у вигляді рядка в зашифрованому JavaScript разом із «hospital/spa», що міститься в його шляху сервера C&C.

Джерело зображення: funender.com

Що таке Філадельфія:

Гаразд, усі знають, що це найбільше місто в Пенсільванії, і бла-бла-бла… але що стосується кіберзлочинності, то це також оновлена ​​версія сумнозвісного вірусу-вимагача Stampado. У фішингових електронних листах ви можете зустріти їх із підробленими сповіщеннями про прострочення платежу. Ці листи здебільшого містять посилання на веб-сайти Філадельфії, які готові за допомогою програм Java для встановлення програм-вимагачів у вашу систему.

Дивіться також:  5 найкращих засобів захисту від програм-вимагачів

Філадельфія починає шифрувати файли з різними розширеннями, такими як .doc, .bmp, .avi, .7z, .pdf тощо, після успішного проникнення в систему. Ви можете ідентифікувати зашифрований файл, заблокований Філадельфією, з його розширенням « .locked ». Наприклад, файл у вашій системі з ім’ям «abc.bmp» буде зашифрований і перейменований як «KD24KIH83483BJAKDF8JDR7.locked». Щойно ви спробуєте відкрити зашифрований файл, програма-викуп відкриває нове вікно з вимогою викупу в повідомленні.

Повідомлення з викупом повідомляє, що файли зашифровано, і ви повинні заплатити за їх відновлення. Філадельфія використовує асиметричний алгоритм шифрування, який створює відкритий (шифрування) і приватний (розшифровка) ключі під час шифрування та блокування файлів. Розшифровка заблокованих файлів без приватного ключа схожа на кип’ятіння океану, оскільки вони розташовані на віддалених серверах, які охороняються кіберзлочинцями.

У вікні є два цікавих таймера: Deadline і Russian Roulette. У той час як таймер крайнього терміну вказує час, що залишився до отримання вашого приватного ключа, Російська рулетка показує час видалення наступного файлу (підштовхуючи вас купити його, не шкодуючи часу на пошук допомоги). Це справді загроза, але це єдине, що не є фейком.

Джерело зображення: forbes.com

Чи можете ви уникнути цієї ситуації?

Так. Ви можете бути врятовані від розпилювання за допомогою програми-вимагача Філадельфії ; однак, ви повинні тримати свій комп’ютер на озброєнні найкращими засобами захисту від викупів і шкідливих програм. Зауважте, що деякі програми-вимагачі можуть обійти найкращі антивимагачі, тому найкраща практика — стати пильним користувачем і не натискати нічого незвичайного та підозрілого.

Дивіться також:  5 найкращих порад щодо боротьби з хаосом програм-вимагачів

З огляду на все, Philadelphia Ransomware можна вважати проникливим типом інфекції. Хоча зараз він націлений лише на медичні організації, але ви також можете стати жертвою, оскільки вихідний код цього вірусу відкрито для продажу за 400 доларів у темній мережі. Будь-який кіберзлочинець може отримати код і почати полювання за здобиччю. Підтримка імунітету вашого комп’ютера та його захист від шкідливих програм і програм-вимагачів має допомогти.