แรนซัมแวร์สายพันธุ์ใหม่ถูกค้นพบโดยเจ้าหน้าที่รักษาความปลอดภัยของ Forcepoint รัฐเท็กซัส ซึ่งมีเป้าหมายที่องค์กรด้านการดูแลสุขภาพ แรนซั่มแวร์ของฟิลาเดลเฟียมาจากตระกูลสแตมปาโด ชุดแรนซัมแวร์นี้ขายทางออนไลน์ในราคาไม่กี่ร้อยดอลลาร์ และผู้โจมตีต้องการค่าไถ่ในรูปของบิตคอยน์
นักวิจัยพบว่าโปรแกรมเรียกค่าไถ่ของฟิลาเดลเฟียถูกส่งผ่านทางอีเมลสเปียร์ฟิชชิง อีเมลดังกล่าวถูกส่งไปยังโรงพยาบาลพร้อมเนื้อหาข้อความของ URL แบบสั้นที่ตรงไปยังพื้นที่เก็บข้อมูลส่วนตัวที่ให้บริการไฟล์ DOCX ที่มีอาวุธพร้อมโลโก้ขององค์กรด้านการดูแลสุขภาพเป้าหมาย พนักงานติดกับดักและลงเอยด้วยการคลิกลิงก์เหล่านี้ที่ทำให้แรนซัมแวร์แทรกซึมเข้าไปในระบบ
เมื่อแรนซัมแวร์ถูกสร้างขึ้นในระบบ มันจะติดต่อกับเซิร์ฟเวอร์ C&C และถ่ายโอนข้อมูลทั้งหมดเกี่ยวกับคอมพิวเตอร์ของเหยื่อ เช่น ระบบปฏิบัติการ ประเทศ ภาษาของระบบ และชื่อผู้ใช้ของเครื่อง จากนั้นเซิร์ฟเวอร์ C&C จะสร้าง ID ของเหยื่อ ราคาค่าไถ่ และ ID กระเป๋าเงิน Bitcoin และส่งไปยังเครื่องเป้าหมาย
เทคนิคการเข้ารหัสที่ใช้โดย Philadelphia Ransomware คือ AES-256 ซึ่งต้องการค่าไถ่ 0.3 Bitcoins เมื่อเสร็จสิ้นการล็อกไฟล์ของคุณ ความยุ่งเหยิงต่ออุตสาหกรรมสุขภาพสามารถสังเกตได้จากเส้นทางไดเรกทอรีที่แสดง "โรงพยาบาล/สแปม" เป็นสตริงใน JavaScript ที่เข้ารหัสพร้อมกับ "โรงพยาบาล/สปา" ที่อยู่ในเส้นทางเซิร์ฟเวอร์ C&C
ฟิลาเดลเฟียคืออะไร:
โอเค ทุกคนรู้ว่ามันเป็นเมืองที่ใหญ่ที่สุดในเพนซิลเวเนียและ blah blah blah… แต่เท่าที่เกี่ยวกับอาชญากรรมทางไซเบอร์ มันยังเป็นเวอร์ชันปรับปรุงของแรนซั่มแวร์ Stampado ที่มีชื่อเสียง ไวรัส. ในอีเมลฟิชชิ่ง คุณอาจพบการแจ้งเตือนการชำระเงินปลอมที่เกินกำหนด อีเมลเหล่านี้ส่วนใหญ่มีลิงก์ไปยังเว็บไซต์ของฟิลาเดลเฟีย ซึ่งเก็บไว้พร้อมกับแอปพลิเคชัน Java เพื่อติดตั้งแรนซัมแวร์ในระบบของคุณ
ฟิลาเดลเฟียเริ่มเข้ารหัสไฟล์ที่มีนามสกุลต่างๆ เช่น .doc, .bmp, .avi, .7z, .pdf ฯลฯ หลังจากการบุกรุกระบบสำเร็จ คุณสามารถระบุไฟล์เข้ารหัสที่ฟิลาเดลเฟียล็อกไว้โดยมีนามสกุลเป็น ".locked" ’ ตัวอย่างเช่น ไฟล์ในระบบของคุณที่มีชื่อ 'abc.bmp' จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 'KD24KIH83483BJAKDF8JDR7.locked' เมื่อคุณพยายามเปิดไฟล์ที่เข้ารหัส แรนซัมแวร์จะเปิดหน้าต่างใหม่พร้อมข้อความเรียกร้องค่าไถ่
ข้อความเรียกค่าไถ่แจ้งให้คุณทราบว่าไฟล์ได้รับการเข้ารหัสและคุณต้องจ่ายเงินเพื่อกู้คืน ฟิลาเดลเฟียใช้อัลกอริธึมการเข้ารหัสแบบอสมมาตรซึ่งสร้างคีย์สาธารณะ (เข้ารหัส) และส่วนตัว (ถอดรหัส) ในขณะที่เข้ารหัสและล็อคไฟล์ การถอดรหัสไฟล์ที่ถูกล็อกโดยไม่มีคีย์ส่วนตัวนั้นเหมือนกับการต้มมหาสมุทร เนื่องจากไฟล์เหล่านั้นอยู่บนเซิร์ฟเวอร์ระยะไกลที่มีการป้องกันโดยอาชญากรไซเบอร์
หน้าต่างมีตัวจับเวลาที่น่าสนใจสองตัว:กำหนดเวลาและรูเล็ตรัสเซีย ในขณะที่ตัวจับเวลากำหนดเส้นตายบ่งชี้ เวลาที่เหลือในการรับคีย์ส่วนตัวของคุณ Russian Roulette จะแสดงเวลาที่จะลบไฟล์ถัดไป (ผลักดันให้คุณซื้อโดยไม่เสียเวลาในการค้นหาความช่วยเหลือ) มันเป็นภัยคุกคามจริง ๆ แต่นั่นเป็นเพียงสิ่งเดียวที่ไม่ใช่ของปลอม
คุณหลีกเลี่ยงสถานการณ์นี้ได้ไหม
ใช่ คุณสามารถรอดจากการถูกเลื่อยโดย Philadelphia ransomware; อย่างไรก็ตาม คุณต้องทำให้คอมพิวเตอร์ของคุณติดอาวุธด้วยโปรแกรมป้องกันแรนซัมแวร์และมัลแวร์ที่ดีที่สุด โปรดทราบว่าแรนซัมแวร์บางตัวอาจหลีกเลี่ยงแอนตี้แรนซัมแวร์ที่ดีที่สุด ดังนั้นแนวทางปฏิบัติที่ดีที่สุดคือการเป็นผู้ใช้ที่ระแวดระวังและไม่คลิกสิ่งผิดปกติและน่าสงสัย
เมื่อพิจารณาทุกอย่างแล้ว Philadelphia Ransomware สามารถสันนิษฐานได้ว่าเป็นการติดเชื้อประเภทหนึ่ง แม้ว่าตอนนี้จะมีเป้าหมายเฉพาะองค์กรด้านการดูแลสุขภาพ แต่คุณสามารถตกเป็นเหยื่อได้เช่นกัน เนื่องจากซอร์สโค้ดของไวรัสนี้ถูกเปิดขายในราคา $400 บนเว็บมืด อาชญากรไซเบอร์ที่ต้องการอาจได้รับรหัสและเริ่มล่าเหยื่อ การรักษาคอมพิวเตอร์ของคุณให้ปลอดภัยและป้องกันด้วยโปรแกรมป้องกันมัลแวร์และโปรแกรมป้องกันแรนซัมแวร์จะช่วยได้
