اكتشف مسؤولو الأمن في شركة Forcepoint بولاية تكساس سلالة جديدة من برامج الفدية تستهدف مؤسسات الرعاية الصحية. ينتمي برنامج الفدية فيلادلفيا إلى عائلة Stampado. يتم بيع مجموعة أدوات برامج الفدية هذه عبر الإنترنت مقابل بضع مئات من الدولارات ويطلب المهاجمون فدية على شكل عملات بيتكوين.
وجد الباحثون أن برامج الفدية في فيلادلفيا يتم نقلها عبر رسائل البريد الإلكتروني للتصيد الاحتيالي. يتم إرسال رسائل البريد الإلكتروني هذه إلى المستشفيات مع نص رسالة بعنوان URL مختصر يوجه نحو مساحة تخزين شخصية تخدم ملف DOCX مسلحًا يحمل شعار مؤسسة الرعاية الصحية المستهدفة. يُحاصر الموظفون وينتهي بهم الأمر بالنقر على هذه الروابط التي تجعل برنامج الفدية يتسلل إلى النظام.
مصدر الصورة: forcepoint.com
بمجرد ظهور برنامج الفدية يتم إنشاؤه في النظام، ويقوم بالاتصال بخادم القيادة والتحكم وينقل جميع المعلومات حول الكمبيوتر الضحية مثل نظام التشغيل والبلد ولغة النظام واسم مستخدم الجهاز. يقوم خادم القيادة والتحكم بعد ذلك بإنشاء معرف الضحية وسعر الفدية ومعرف محفظة Bitcoin وإرساله إلى الجهاز المستهدف.
تقنية التشفير المستخدمة بواسطة Philadelphia Ransomware هي AES-256، والتي تتطلب فدية قدرها 0.3 بيتكوين. بمجرد الانتهاء من قفل الملفات الخاصة بك. ويمكن ملاحظة اهتمامها بالصناعة الصحية من خلال مسار الدليل الذي يعرض "المستشفى/البريد العشوائي" كسلسلة في جافا سكريبت المشفر بالإضافة إلى "المستشفى/المنتجع الصحي" الموجود في مسار خادم التحكم والسيطرة.
مصدر الصورة: funender.com
ما هي فيلادلفيا:
حسنًا، يعلم الجميع أنها أكبر مدينة في ولاية بنسلفانيا، بلاه بلاه بلاه... لكن وفيما يتعلق بالجرائم الإلكترونية، فهي أيضًا نسخة محدثة من فيروس Stampado Ransomware سيئ السمعة. في رسائل البريد الإلكتروني التصيدية، قد تواجهها بإشعارات الدفع المتأخرة المزيفة. تتضمن رسائل البريد هذه في الغالب روابط إلى مواقع الويب الخاصة بفيلادلفيا، والتي تظل جاهزة باستخدام تطبيقات Java لتثبيت برامج الفدية في نظامك.
راجع أيضًا: أفضل 5 أدوات للحماية من برامج الفدية
تبدأ فيلادلفيا في تشفير الملفات باستخدام امتدادات مختلفة مثل .doc، .bmp، .avi، .7z، .pdf وما إلى ذلك، بعد عملية اقتحام ناجحة للنظام. يمكنك التعرف على ملف مشفر مقفل بواسطة فيلادلفيا بامتداده كـ ".locked". على سبيل المثال، سيتم تشفير ملف في نظامك باسم "abc.bmp" وإعادة تسميته باسم "KD24KIH83483BJAKDF8JDR7.locked". بمجرد محاولة فتح ملف encr ypted، يفتح برنامج الفدية نافذة جديدة تحتوي على فدية مطلوبة في الرسالة.
تخبرك رسالة الفدية بأن الملفات قد تم تشفيرها ويجب عليك الدفع مقابل استعادتها. تستخدم فيلادلفيا خوارزمية تشفير غير متماثلة تقوم بإنشاء مفاتيح عامة (تشفير) وخاصة (فك تشفير) أثناء تشفير الملفات وقفلها. إن فك تشفير الملفات المقفلة بدون المفتاح الخاص يشبه غليان المحيط حيث أنها موجودة على خوادم بعيدة يحرسها مجرمون الإنترنت.
تحتوي النافذة على مؤقتين مثيرين للاهتمام: الموعد النهائي والروليت الروسية. في حين يشير مؤقت الموعد النهائي إلى الوقت المتبقي للحصول على مفتاحك الخاص، فإن الروليت الروسية تظهر الوقت اللازم لحذف الملف التالي (مما يدفعك إلى شرائه دون توفير الوقت في البحث عن المساعدة). إنه بالفعل تهديد ولكن هذا هو الشيء الوحيد الذي ليس مزيفًا فيه.
مصدر الصورة: forbes.com
هل يمكنك تجنبه هذا الموقف؟
نعم. يمكن إنقاذك من التعرض لبرامج الفدية فيلادلفيا؛ ومع ذلك، يجب أن تبقي جهاز الكمبيوتر الخاص بك مسلحًا بأفضل برامج مكافحة برامج الفدية والبرامج الضارة. لاحظ أن بعض برامج الفدية قد تتحايل على أفضل برامج مكافحة برامج الفدية، لذا فإن أفضل الممارسات هي أن تصبح مستخدمًا يقظًا ولا تنقر على أي شيء غير عادي أو مشبوه.
راجع أيضًا: أهم 5 نصائح لمكافحة فساد برامج الفدية
بالنظر إلى كل شيء، يمكن افتراض أن Philadelphia Ransomware هو نوع من أنواع العدوى المخترقة. على الرغم من أنه يستهدف مؤسسات الرعاية الصحية فقط الآن، إلا أنه من الممكن أن تكون ضحية أيضًا حيث يتم فتح الكود المصدري لهذا الفيروس للبيع بسعر 400 دولار عبر الويب المظلم. يمكن لأي مجرم إلكتروني طموح الحصول على الكود والبدء في البحث عن فريسة. من المفترض أن يساعد الحفاظ على تحصين جهاز الكمبيوتر الخاص بك وحمايته بواسطة برامج مكافحة البرامج الضارة وبرامج مكافحة برامج الفدية.
قراءة: 0
