Sicherheitsbeamte von Forcepoint, Texas, haben eine neue Ransomware-Variante entdeckt, die es auf Gesundheitsorganisationen abgesehen hat. Die Philadelphia-Ransomware stammt aus der Stampado-Familie. Dieses Ransomware-Kit wird online für ein paar hundert Dollar verkauft und Angreifer verlangen Lösegeld in Form von Bitcoins.
Forscher fanden heraus, dass Philadelphia-Ransomware über Spear-Phishing-E-Mails transportiert wird. Solche E-Mails werden mit dem Nachrichtentext einer verkürzten URL an die Krankenhäuser gesendet, die auf einen persönlichen Speicherbereich verweist, der eine waffenfähige DOCX-Datei mit dem Logo der anvisierten Gesundheitsorganisation bereitstellt. Die Mitarbeiter geraten in die Falle und klicken am Ende auf diese Links, wodurch die Ransomware in das System eindringt.
Bildquelle: forcepoint.com
Einmal die Ransomware Wird im System installiert, kontaktiert es den C&C-Server und übermittelt alle Informationen über den Opfercomputer wie Betriebssystem, Land, Systemsprache und Benutzername des Computers. Der C&C-Server generiert dann eine Opfer-ID, einen Lösegeldpreis und eine Bitcoin-Wallet-ID und sendet sie an den Zielcomputer.
Die von Philadelphia Ransomware verwendete Verschlüsselungstechnik ist AES-256, die ein Lösegeld von 0,3 Bitcoins verlangt Sobald das Sperren Ihrer Dateien abgeschlossen ist. Sein Engagement in der Gesundheitsbranche lässt sich am Verzeichnispfad erkennen, der „hospital/spam“ als Zeichenfolge in seinem verschlüsselten JavaScript zusammen mit „hospital/spa“ im C&C-Serverpfad anzeigt.
Bildquelle: funender.com
Was ist Philadelphia:
Okay, jeder weiß, dass es die größte Stadt in Pennsylvania ist und bla bla bla … aber Was die Cyberkriminalität betrifft, handelt es sich auch um eine aktualisierte Version des berüchtigten Erpressersoftware-Typs Stampado. In Phishing-E-Mails kann es sein, dass Sie mit gefälschten Zahlungsaufforderungen konfrontiert werden. Diese E-Mails enthalten meist Links zu den Websites von Philadelphia, die mit Java-Anwendungen zur Installation von Ransomware in Ihrem System bereitgehalten werden.
Siehe auch: Top 5 Tools zum Schutz vor Ransomware
Philadelphia beginnt mit der Verschlüsselung von Dateien verschiedene Erweiterungen wie .doc,.bmp, .avi, .7z, .pdf usw., nach einem erfolgreichen Eingriff in das System. Sie können eine von Philadelphia gesperrte verschlüsselte Datei an der Erweiterung „.locked“ erkennen. Beispielsweise würde eine Datei in Ihrem System mit dem Namen „abc.bmp“ verschlüsselt und in „KD24KIH83483BJAKDF8JDR7.locked“ umbenannt. Sobald Sie versuchen, die Encr zu öffnen ypted file, ransomware öffnet ein neues Fenster mit einer Lösegeldforderung in der Nachricht.
Die Lösegeldnachricht informiert Sie darüber, dass die Dateien verschlüsselt wurden und Sie für die Wiederherstellung bezahlen müssen. Philadelphia verwendet einen asymmetrischen Verschlüsselungsalgorithmus, der beim Verschlüsseln und Sperren der Dateien einen öffentlichen (Verschlüsselung) und einen privaten (Entschlüsselung) Schlüssel erstellt. Das Entschlüsseln der gesperrten Dateien ohne den privaten Schlüssel ist wie das Kochen eines Ozeans, da sie sich auf entfernten Servern befinden, die von Cyberkriminellen bewacht werden.
Das Fenster enthält zwei interessante Timer: Deadline und Russisches Roulette. Während der Deadline-Timer die verbleibende Zeit zum Erhalten Ihres privaten Schlüssels angibt, zeigt das Russische Roulette die Zeit zum Löschen der nächsten Datei an (und drängt Sie dazu, sie zu kaufen, ohne Zeit mit der Suche nach Hilfe zu verschwenden). Es ist tatsächlich eine Bedrohung, aber das ist das Einzige daran, was nicht gefälscht ist.
Bildquelle: forbes.com
Kann man das vermeiden? Diese Situation?
Ja. Sie können davor bewahrt werden, von Philadelphia-Ransomware angegriffen zu werden; Sie müssen Ihren Computer jedoch mit der besten Anti-Ransomware- und Anti-Malware-Software ausstatten. Beachten Sie, dass manche Ransomware möglicherweise die beste Anti-Ransomware umgeht. Die beste Vorgehensweise besteht daher darin, ein wachsamer Benutzer zu werden und nicht auf ungewöhnliche und verdächtige Dinge zu klicken.
Siehe auch: Die 5 besten Tipps zur Bekämpfung von Ransomware-Hypotheken
Alles in allem kann davon ausgegangen werden, dass es sich bei Philadelphia Ransomware um eine durchdringende Infektionsart handelt. Obwohl es derzeit nur auf Gesundheitsorganisationen abzielt, können Sie auch ein Opfer sein, da der Quellcode dieses Virus für 400 US-Dollar im Darknet zum Verkauf angeboten wird. Jeder aufstrebende Cyberkriminelle kann an den Code gelangen und sich auf die Jagd nach einer Beute machen. Es sollte hilfreich sein, Ihren Computer durch Antimalware und Anti-Ransomware zu immunisieren und zu schützen.
Lesen: 0
