Користувачі ПК мішенню Spider Ransomware

Computer Security News

Безпеки дослідники повідомили, що під час аналізу середині масштабу кампанії в минулі вихідні, вони знайшли нові сім’ї вимагачів. Нова загроза називається Spider ransomware, і він використовує decoy документи авто синхронізовано з корпоративних cloud зберігання та Співпраця додатків.

На думку експертів Spider ransomware в даний час поширюється через документа Office, яка орієнтована користувачів у Боснії та Герцеговині, Сербії та Хорватії.

Спам листи виглядають як відправник має намір зібрати деякі заборгованості від одержувача, обманюючи користувача у відкритті вкладений файл.

Однак, незрозумілу макрокод, вбудовані у Office документа запускає в Base64 зашифровані сценарію PowerShell замість цього до завантажте шкідливе навантаження.

Після того, як у системі інфікованих, на вимагачів починається шифрування файлів користувача і додає ‘.spider’ розширення постраждалих кожного файлу.

На щастя, decrypter був створений, щоб відобразити користувачів інтерфейс і нехай вони розшифрувати файли за допомогою ключ дешифрування. Він виконується поряд з encrypter, однак, він працює у фоновому режимі, поки Криптографічний процес був завершений.

За словами експерта Аміт Малик на Netskope, павук decrypter монітори система обробляє і перешкоджає запуску інструменти, такі як taskmgr procexp msconfig, regedit, cmd, outlook, winword, excel і msaccess.

У процесі шифрування, Spider ransomware пропускає файли у такі папки: tmp, відео winnt, застосування даних, людина-павук, PrefLogs, Program Files (x86), Program Files, ProgramData, темп, Recycle, System Volume Information, завантаження та Windows.

Після завершення процесу шифрування decrypter відображає попередження (доступна англійською та Хорватська) інформувати користувачів про те, щоб розшифрувати їх файли.

Крім того, існує розділ довідки, яка включає в себе посилання та посилання на ресурси, необхідні для здійснення платежу, який становить приблизно $120.

“Як вимагачів продовжує розвиватися, адміністратори повинні виховувати співробітників про вплив вимагачів і забезпечити захист даних організації, роблячи регулярного резервного копіювання важливих даних. На додаток до вимкнення макросів за промовчанням, користувачі повинні обережний документів, які міститимуть лише повідомлення, щоб вимикати макроси для перегляду вмісту а також не виконати непідписані макроси та макроси з ненадійних джерел,” Netskope дослідники держави.


Leave a Reply

Your email address will not be published. Required fields are marked *