फोर्सपॉइंट, टेक्सास के सुरक्षा अधिकारियों द्वारा एक नए रैनसमवेयर स्ट्रेन की खोज की गई, जो स्वास्थ्य सेवा संगठनों को लक्षित कर रहा है। फ़िलाडेल्फ़िया रैंसमवेयर स्टैम्पाडो परिवार से है। यह रैंसमवेयर किट कुछ सौ डॉलर में ऑनलाइन बेचा जाता है और हमलावर बिटकॉइन के रूप में फिरौती मांगते हैं।
शोधकर्ताओं ने पाया कि फ़िलाडेल्फ़िया रैंसमवेयर स्पीयर-फ़िशिंग ईमेल के ज़रिए पहुँचाया जाता है। इस तरह के ईमेल अस्पतालों को एक छोटे URL के संदेश निकाय के साथ भेजे जाते हैं जो लक्षित स्वास्थ्य सेवा संगठन के लोगो के साथ एक हथियारबंद DOCX फ़ाइल परोसने वाले व्यक्तिगत भंडारण स्थान की ओर निर्देशित करता है। कर्मचारी फंस जाते हैं और अंत में इन लिंक्स पर क्लिक करते हैं जो रैनसमवेयर को सिस्टम में घुसा देते हैं।
एक बार सिस्टम में रैनसमवेयर स्थापित हो जाने के बाद, यह C&C सर्वर से संपर्क करता है और पीड़ित कंप्यूटर के बारे में सभी जानकारी जैसे ऑपरेटिंग सिस्टम, देश, सिस्टम भाषा और मशीन का उपयोगकर्ता नाम स्थानांतरित करता है। C&C सर्वर तब पीड़ित आईडी, फिरौती की कीमत और बिटकॉइन वॉलेट आईडी बनाता है और इसे लक्षित मशीन पर भेजता है।
फिलाडेल्फिया रैंसमवेयर द्वारा उपयोग की जाने वाली एन्क्रिप्शन तकनीक AES-256 है, जो आपकी फ़ाइलों को लॉक करने के बाद 0.3 बिटकॉइन की फिरौती मांगती है। स्वास्थ्य उद्योग के प्रति इसके आकर्षण को निर्देशिका पथ द्वारा देखा जा सकता है जो इसके एन्क्रिप्टेड जावास्क्रिप्ट में 'अस्पताल/स्पैम' को एक स्ट्रिंग के रूप में दिखाता है, साथ ही इसके C&C सर्वर पाथवे में 'अस्पताल/स्पा' शामिल है।
फिलाडेल्फिया क्या है:
ठीक है, हर कोई जानता है कि यह पेन्सिलवेनिया का सबसे बड़ा शहर है और ब्ला ब्ला ब्ला… लेकिन जहां तक साइबर अपराध का संबंध है, यह कुख्यात स्टैम्पैडो रैनसमवेयर प्रकार का अपडेटेड संस्करण भी है वाइरस। फ़िशिंग ईमेल में, आपका सामना नकली अतिदेय भुगतान नोटिस से हो सकता है। इन मेल में ज्यादातर फिलाडेल्फिया की वेबसाइटों के लिंक शामिल होते हैं, जिन्हें आपके सिस्टम में रैंसमवेयर इंस्टॉल करने के लिए जावा एप्लिकेशन के साथ तैयार रखा जाता है।
फिलाडेल्फिया सिस्टम में एक सफल घुसपैठ के बाद विभिन्न एक्सटेंशन जैसे .doc,.bmp, .avi, .7z, .pdf आदि के साथ फाइलों को एन्क्रिप्ट करना शुरू कर देता है। आप फ़िलाडेल्फ़िया द्वारा लॉक की गई एन्क्रिप्ट की गई फ़ाइल की पहचान कर सकते हैं जिसका एक्सटेंशन '.locked है '। उदाहरण के लिए, आपके सिस्टम में 'abc.bmp' के नाम से एक फ़ाइल एन्क्रिप्ट की जाएगी और उसका नाम बदलकर 'KD24KIH83483BJAKDF8JDR7.locked' कर दिया जाएगा। एक बार जब आप एन्क्रिप्ट की गई फ़ाइल को खोलने का प्रयास करते हैं, तो रैंसमवेयर संदेश में मांगी गई फिरौती के साथ एक नई विंडो खोलता है।
फिरौती संदेश आपको सूचित करता है कि फ़ाइलों को एन्क्रिप्ट किया गया है और आपको उन्हें पुनर्स्थापित करने के लिए भुगतान करना होगा। फिलाडेल्फिया एक असममित एन्क्रिप्शन एल्गोरिथ्म का उपयोग करता है जो फ़ाइलों को एन्क्रिप्ट और लॉक करते समय एक सार्वजनिक (एन्क्रिप्शन) और निजी (डिक्रिप्शन) कुंजी बनाता है। निजी कुंजी के बिना लॉक की गई फ़ाइलों को डिक्रिप्ट करना एक महासागर को उबालने जैसा है क्योंकि वे साइबर अपराधियों द्वारा संरक्षित दूरस्थ सर्वर पर स्थित हैं।
विंडो में दो दिलचस्प टाइमर हैं:समय सीमा और रूसी रूले। जबकि समय सीमा टाइमर इंगित करता है, आपकी निजी कुंजी प्राप्त करने में शेष समय, रूसी रूले अगली फ़ाइल को हटाने के लिए समय दिखाता है (मदद की खोज में समय बख्शते हुए आपको इसे खरीदने के लिए प्रेरित करता है)। यह वास्तव में एक खतरा है लेकिन इसके बारे में केवल यही एक चीज है जो नकली नहीं है।
क्या आप इस स्थिति से बच सकते हैं?
हां। फ़िलाडेल्फ़िया रैनसमवेयर; द्वारा आपको प्रभावित होने से बचाया जा सकता है हालाँकि, आपको अपने कंप्यूटर को सर्वश्रेष्ठ एंटी-रैंसमवेयर और एंटी-मैलवेयर से लैस रखना चाहिए। ध्यान दें कि कुछ रैंसमवेयर सर्वश्रेष्ठ एंटी रैंसमवेयर को धोखा दे सकते हैं, इसलिए सबसे अच्छा अभ्यास एक सतर्क उपयोगकर्ता बनना है और असामान्य और संदिग्ध किसी भी चीज़ पर क्लिक नहीं करना है।
सब कुछ को ध्यान में रखते हुए, फ़िलाडेल्फ़िया रैंसमवेयर को एक मर्मज्ञ प्रकार के संक्रमण के रूप में माना जा सकता है। हालाँकि इसने अब केवल स्वास्थ्य सेवा संगठनों को लक्षित किया है लेकिन आप भी इसके शिकार हो सकते हैं क्योंकि इस वायरस का स्रोत कोड $400 में डार्क वेब पर बिक्री के लिए खुला है। कोई भी इच्छुक साइबर अपराधी कोड प्राप्त कर सकता है और शिकार की तलाश शुरू कर सकता है। अपने कंप्यूटर को एंटीमैलवेयर और एंटी-रैंसमवेयर से प्रतिरक्षित और संरक्षित रखने में मदद करनी चाहिए।