Użytkownicy PC kierowane przez Spider Ransomware

Computer Security News

Naukowcy zabezpieczeń poinformował, że podczas analizowania kampanii na połowie skali w weekend, znaleźli nowe rodziny ransomware. Nowe zagrożenie nazywa Spider ransomware i używa maniak dokumentów automatycznie zsynchronizowane z enterprise cloud przechowywania i współpracy aplikacji.

Zdaniem ekspertów Spider ransomware jest dystrybuowana za pośrednictwem dokumentu pakietu Office, który jest przeznaczony dla użytkowników w Bośni i Hercegowinie, Serbii i Chorwacji.

Wygląd wiadomości e-mail spam, jak nadawca będzie zbierać niektóre długu od odbiorcy, oszukiwanie użytkownika do otwarcia załączonego pliku.

Jednak kod mylącą makro osadzone w Office dokument uruchamia Base64 szyfrowane skryptu PowerShell zamiast pobierać złośliwy ładunek.

Gdy system jest zainfekowany, ransomware zaczyna się szyfrowanie plików użytkownika i dodaje rozszerzenie ‘.spider’ każdy plik, którego dotyczy.

Na szczęście decrypter został stworzony, aby wyświetlić interfejs użytkownika i niech je odszyfrować pliki przy użyciu klucza odszyfrowującego. Jest wykonywany u boku encrypter, jednak to działa w tle, do momentu zakończenia procesu szyfrowania.

Według ekspertów Amit Netskope Malik, monitory decrypter Pająk, system przetwarza i zapobiega uruchomieniu narzędzia taskmgr, procexp, msconfig, regedit, cmd, outlook, winword, excel i msaccess.

Podczas procesu szyfrowania, Spider ransomware pomija pliki w następujących folderach: tmp, filmy, winnt, dane aplikacji, Spider, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, recykling, System Volume Information, rozruchu i Windows.

Po zakończeniu procesu szyfrowania, decrypter wyświetla ostrzeżenie (dostępne w języku angielskim i chorwacki), aby poinformować użytkowników na temat odszyfrowywania plików.

Dodatkowo istnieje sekcja pomocy, który zawiera łącza i odnośniki do zasobów potrzebnych do dokonania płatności, która jest około $120.

“Jak ransomware będzie się rozwijać, Administratorzy należy kształcić pracowników o wpływ ransomware i zapewnienia ochrony organizacji dane poprzez regularne tworzenie kopii zapasowych ważnych danych. Poza wyłączeniem makra domyślnie, użytkowników należy również uważać na dokumenty, które zawierają tylko wiadomość, aby włączyć makra, aby wyświetlić zawartość i również nie do wykonania niepodpisane makra i makra z niezaufanych źródeł,” Netskope naukowcy państwa.


Leave a Reply

Your email address will not be published. Required fields are marked *