Spider Ransomware

Ransomware upozorenje

Novi ransomware pod nazivom File Spider se distribuira kroz email spam koji cilja žrtve u Bosni i Hercegovini, Srbiji i Hrvatskoj. Ovaj neželjeni email sadrži zlonamjerne Word dokumente koji će preuzeti i instalirati File Spider ransomware na vaš računar

Spider Ransomware cilja na Balkan

File Spider se trenutno distribuira preko malspam-a koji izgleda cilja na zemlje poput Hrvatske, Bosne i Hercegovine i Srbije. Spam počinje sa subjektom poruke poput “Potraživanje dugovanja”.

Primjer poruke:

Ovi e-mailovi će imati priložen dokument sa ubačenom malicioznom skriptom koji aktiviraju Ransomware. Ovako izgleda dokument:

Ako korisnik klikne na opciju Enable Editing, a zatim i omogući sadržaje, ugrađeni makro će preuzeti izvršne datoteke ransomwara sa udaljene lokacije i izvršiti ih. Prilikom preuzimanja datoteka, oni će biti dekriptirani i sačuvani u folderu %AppData% \ Spider.

Kako File Spider zaključa računar

Kada makroi u zlonamernom dokumentu pokrenu instalaciju, ransomware će biti preuzet i izvršen na računaru. Ovo će dovesti do izvršavanja dva procesa nazvana enc.exe i dec.exe. Dec.exe je dekriptator i GUI za ransomware i tiho će se pokrenuti u pozadini dok se enc.exe, koji je šifrovač, završi šifriranje računara.

Dok se pokreće enc.exe, skeniraju se lokalni programi na računaru i šifriraju sve datoteke. U svakoj fascikli koja je datoteka šifrovana, šifrator će takođe napraviti belešku o otkupu pod nazivom HOW TO DECRYPT FILES.url, a kada kliknete na njega otvoriće se video tutorial. Enkriptor će takođe kreirati datoteku na radnoj površini koja se zove DECRYPTER.url, koja pokreće datoteku dec.exe.

Na kraju, enc.exe program će kreirati datoteku pod nazivom% UserProfile% \ AppData \ Roaming \ Spider \ 5p1d3r i izaći iz nje. Kada program dec.exe otkrije da je ova datoteka kreirana, prikazaće se grafički prikaz dekriptora kao što je prikazano u nastavku.

Ovaj GUI sadrži više opcija koje vam omogućavaju da prebacujete jezik između engleskog i hrvatskog jezika, prikazujete lokaciju za plaćanje TOR koja se nalazi na http://spiderwjzbmsmu7y.onion, identifikacijski kod žrtve koji je potreban za prijavljivanje na TOR lokaciju, dekriptor i pomoćna datoteka. GUI sadrži i e-mail adresu datoteke file-spider@protonmail.ch.

Kada korisnik ode na lokaciju TOR, od njih će biti zatraženo da se prijavljuju pomoću ID-a žrtve koja se nalazi u grafičkom grafičkom programu za dešifriranje. Kada se prijavite, biće prikazana stranica koja sadrži uputstva o plaćanju otkupnine, koja je trenutno .00726 bitcoins, ili oko 123,25 dolara, da bi se datoteke vratile.

Ransomware se trenutno analizira, ali kako je AES ključ šifrovan pomoću RSA ključa, malo je verovatno da se datoteke mogu besplatno dešifrirati.

Zahvaljemo @GrujaRS, @malwrhunterteam i @B_H101 za upućivanje na informacije o tome kako se ovaj ransomware trenutno širi. Za čitatelje, @sdkhere je izvršio i analizu ovog ransomware-a.

Kako se zaštititi od File Spider Ransomware-a

Da biste se zaštitili od ransomware-a, važno je da koristite dobre računarske navike i bezbjednosni softver. Prvo i najvažnije, uvijek treba da imate pouzdanu i testiranu rezervnu kopiju vaših podataka koji se mogu vratiti u slučaju vanrednog stanja, kao što je napad na ransomware.

Trebali biste takođe imati sigurnosni softver koji uključuje detekcije ponašanja u borbi protiv ransomware-a, a ne samo detekcije potpisa ili heuristike.

Najzad, ali ne i najmanje važno, vodite računa o sledećim bezbednosnim navikama koje u mnogim slučajevima predstavljaju najvažnije korake:

  • Backup, Backup, Backup!
  • Ne otvarajte priloge ako ne znate ko ih je poslao.
  • Ne otvarajte priloge dok ne potvrdite da vam je osoba poslala,
  • Skenirajte priloge sa antivirusnim alatima

Proverite da li su sve zakrpe za Windows ažurne čim se pojavljuju! Takođe proverite da li ažurirate sve programe, posebno Java, Flash i Adobe Reader. Stariji programi sadrže bezbednosne ranjivosti koje obično eksploatišu distributeri malvera. Stoga je važno da ih ažuriramo.

Proverite da li imate instaliran neku vrstu sigurnosnog softvera koji koristi detekcije ponašanja. Koristite teške lozinke i ne koristite istu lozinku na više lokacija.

Pošto ova posebna varijanta Ransomwera cilja Remote Desktop servise, važno je da ne priključujete udaljene serverske lookacije direktno na Internet. Umesto toga, trebalo bi da od korisnika zahteva VPN u vašoj mreži da se prvo poveže sa udaljenim serverom na radnoj površini.