En ny ransomware-stamme ble oppdaget av sikkerhetstjenestemenn i Forcepoint, Texas, som er rettet mot helseorganisasjoner. Philadelphia løsepengevare er fra Stampado-familien. Dette løsepengesettet selges på nettet for noen få hundre dollar og angripere krever løsepenger i form av Bitcoins.
Forskere fant ut at Philadelphia løsepengeprogramvare blir transportert via e-poster med spyd-phishing. Slike e-poster sendes til sykehusene med en meldingstekst med en forkortet URL som leder mot en personlig lagringsplass som betjener en våpenbeskyttet DOCX-fil med logoen til den målrettede helseorganisasjonen. De ansatte blir fanget og ender opp med å klikke på disse koblingene som får løsepengevaren til å infiltrere i systemet.
Bildekilde: forcepoint.com
Når løsepengevaren er etablert i systemet, kontakter den C&C-serveren og overfører all informasjon om offerets datamaskin som operativsystem, land, systemspråk og brukernavn på maskinen. C&C-serveren genererer deretter en offer-ID, løsepengepris og Bitcoin-lommebok-ID og sender den over til den målrettede maskinen.
Krypteringsteknikken som brukes av Philadelphia Ransomware er AES-256, som krever løsepenger på 0,3 Bitcoins når den er ferdig med å låse filene dine. Dens engasjement for helseindustrien kan observeres av katalogbanen som viser «sykehus/spam» som en streng i kryptert JavaScript sammen med «sykehus/spa» i C&C-serverveien.
Bildekilde: funender.com
Hva er Philadelphia:
Ok, alle vet at det er den største byen i Pennsylvania og bla bla bla... men Når det gjelder cyberkriminalitet, er det også en oppdatert versjon av det beryktede stampado løsepengeviruset. I phishing-e-poster kan du støte på dem med falske meldinger om forsinket betaling. Disse e-postene inneholder for det meste lenker til Philadelphias nettsteder, som holdes klare med Java-applikasjoner for å installere løsepengevare i systemet ditt.
Se også: Topp 5 verktøy for beskyttelse mot ransomware
Philadelphia begynner å kryptere filer med ulike utvidelser som .doc, .bmp, .avi, .7z, .pdf osv., etter en vellykket inntrenging i systemet. Du kan identifisere en kryptert fil låst av Philadelphia med filtypen «.locked». For eksempel vil en fil i systemet ditt med navnet 'abc.bmp' bli kryptert og omdøpt til 'KD24KIH83483BJAKDF8JDR7.locked'. Når du prøver å åpne encr yptert fil, løsepengeprogram åpner et nytt vindu med løsepenger som kreves i meldingen.
Løsepengemeldingen informerer deg om at filene er kryptert og du må betale dem for å gjenopprette. Philadelphia bruker en asymmetrisk krypteringsalgoritme som lager en offentlig (kryptering) og privat (dekryptering) nøkler mens du krypterer og låser filene. Å dekryptere de låste filene uten den private nøkkelen er som å koke et hav ettersom de er plassert på eksterne servere som er voktet av nettkriminelle.
Vinduet inneholder to interessante tidtakere: Deadline og Russian Roulette. Mens tidsfristen viser tiden som gjenstår for å få din private nøkkel, viser Russian Roulette tiden for å slette neste fil (presser deg til å kjøpe den uten å spare tid på å søke etter hjelp). Det er faktisk en trussel, men det er det eneste med det som ikke er falskt.
Bildekilde: forbes.com
Can You Avoid denne situasjonen?
Ja. Du kan bli reddet fra å bli saget av Philadelphia ransomware;du må imidlertid holde datamaskinen bevæpnet med den beste anti-ransomware og antimalware. Vær oppmerksom på at noen løsepengevare kan omgå den beste anti-ransomware, så den beste praksisen er å bli en årvåken bruker og ikke klikke på noe uvanlig og mistenkelig.
Se også: Topp 5 tips for å bekjempe ransomware-rask
Med tanke på alt, kan Philadelphia Ransomware antas å være en gjennomtrengende type infeksjon. Selv om det bare har rettet seg mot helseorganisasjonene nå, kan du også bli et offer ettersom kildekoden til dette viruset åpnes for salg for $400 over det mørke nettet. Enhver aspirerende nettkriminell kan få koden og begynne å jakte på et bytte. Å holde datamaskinen immunisert og beskyttet av antimalware og anti-ransomware bør hjelpe.
Les: 0
