Một chủng ransomware mới đã được phát hiện bởi các quan chức an ninh của Forcepoint, Texas đang nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe. Phần mềm tống tiền Philadelphia thuộc họ Stampado. Bộ ransomware này được bán trực tuyến với giá vài trăm đô la và những kẻ tấn công yêu cầu tiền chuộc dưới dạng Bitcoin.
Các nhà nghiên cứu phát hiện ra rằng mã độc tống tiền Philadelphia được vận chuyển qua email lừa đảo trực tiếp. Những email như vậy được gửi đến bệnh viện với nội dung thư là URL rút ngắn hướng tới không gian lưu trữ cá nhân phục vụ tệp DOCX được vũ khí hóa có logo của tổ chức chăm sóc sức khỏe được nhắm mục tiêu. Các nhân viên bị mắc kẹt và cuối cùng nhấp vào các liên kết này khiến phần mềm tống tiền xâm nhập vào hệ thống.
Khi phần mềm tống tiền được thiết lập trong hệ thống, nó sẽ liên hệ với máy chủ C&C và chuyển tất cả thông tin về máy tính nạn nhân như hệ điều hành, quốc gia, ngôn ngữ hệ thống và tên người dùng của máy. Sau đó, máy chủ C&C sẽ tạo ID nạn nhân, giá tiền chuộc và ID ví Bitcoin rồi gửi nó đến máy được nhắm mục tiêu.
Kỹ thuật mã hóa mà Philadelphia Ransomware sử dụng là AES-256, yêu cầu khoản tiền chuộc 0,3 Bitcoin sau khi khóa xong các tệp của bạn. Bạn có thể quan sát thấy sự quan tâm của họ đối với ngành y tế qua đường dẫn thư mục hiển thị 'bệnh viện/thư rác' dưới dạng một chuỗi trong JavaScript được mã hóa cùng với 'bệnh viện/spa' có trong đường dẫn máy chủ C&C của họ.
Philadelphia là gì:
Được rồi, mọi người đều biết đó là thành phố lớn nhất ở Pennsylvania và blah blah blah… nhưng đối với tội phạm mạng, nó cũng là phiên bản cập nhật của loại ransomware Stampado khét tiếng vi-rút. Trong các email lừa đảo, bạn có thể bắt gặp chúng với các thông báo thanh toán quá hạn giả mạo. Những thư này chủ yếu bao gồm các liên kết đến các trang web của Philadelphia, những trang này luôn sẵn sàng với các ứng dụng Java để cài đặt phần mềm tống tiền vào hệ thống của bạn.
Philadelphia bắt đầu mã hóa các tệp có nhiều phần mở rộng khác nhau như .doc,.bmp, .avi, .7z, .pdf, v.v. sau khi xâm nhập thành công vào hệ thống. Bạn có thể xác định tệp mã hóa bị khóa bởi Philadelphia với phần mở rộng là ‘.locked ’. Ví dụ:một tệp trong hệ thống của bạn có tên 'abc.bmp' sẽ được mã hóa và đổi tên thành 'KD24KIH83483BJAKDF8JDR7.locked'. Sau khi bạn cố mở tệp mã hóa, phần mềm tống tiền sẽ mở một cửa sổ mới với thông báo yêu cầu tiền chuộc.
Thông báo đòi tiền chuộc cho bạn biết rằng các tệp đã được mã hóa và bạn phải trả tiền để khôi phục chúng. Philadelphia sử dụng thuật toán mã hóa bất đối xứng để tạo khóa công khai (mã hóa) và khóa riêng (giải mã) trong khi mã hóa và khóa tệp. Giải mã các tệp bị khóa mà không có khóa riêng giống như đun sôi cả đại dương vì chúng nằm trên các máy chủ từ xa được bảo vệ bởi tội phạm mạng.
Cửa sổ chứa hai bộ hẹn giờ thú vị:Hạn chót và Cò quay kiểu Nga. Trong khi bộ hẹn giờ thời hạn cho biết, thời gian còn lại để lấy khóa cá nhân của bạn, thì Roulette Nga hiển thị thời gian để xóa tệp tiếp theo (thúc đẩy bạn mua tệp đó mà không mất thời gian tìm kiếm trợ giúp). Đó thực sự là một mối đe dọa nhưng đó là điều duy nhất về nó không phải là giả mạo.
Bạn có thể tránh được tình huống này không?
Có. Bạn có thể được cứu khỏi bị xẻ thịt bởi mã độc tống tiền Philadelphia; tuy nhiên, bạn phải giữ cho máy tính của mình được trang bị phần mềm chống ransomware và phần mềm độc hại tốt nhất. Lưu ý rằng một số mã độc tống tiền có thể phá vỡ giải pháp chống mã độc tống tiền tốt nhất, vì vậy, cách tốt nhất là trở thành người dùng cảnh giác và không nhấp vào bất kỳ thứ gì bất thường và đáng ngờ.
Xem xét mọi thứ, Philadelphia Ransomware có thể được coi là một loại lây nhiễm thâm nhập. Mặc dù hiện tại nó chỉ nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe nhưng bạn cũng có thể là nạn nhân vì mã nguồn của loại vi-rút này được rao bán với giá 400 đô la trên web tối. Bất kỳ tội phạm mạng tham vọng nào cũng có thể lấy mã và bắt đầu săn lùng con mồi. Giữ cho máy tính của bạn được miễn nhiễm và bảo vệ bởi phần mềm chống phần mềm độc hại và phần mềm chống ransomware.