Pengguna PC yang disasarkan oleh Spider Ransomware

Computer Security News

Penyelidik Keselamatan melaporkan bahawa semasa menganalisis kempen skala sederhana pada hujung minggu, mereka telah menemui sebuah keluarga ransomware yang baru. Ancaman baru dipanggil Spider ransomware dan ia menggunakan dokumen decoy auto-disegerakkan ke perusahaan awan menyimpan dan kerjasama aplikasi.

Menurut pakar, pihak Spider ransomware yang diedarkan melalui dokumen Office yang mensasarkan pengguna di Bosnia dan Herzegovina, Serbia dan Croatia.

Spam emel suka penghantar akan mengutip hutang beberapa daripada penerima, tricking pengguna ke dalam membuka fail yang dilampirkan.

Walau bagaimanapun, kod obfuscated makro yang tertanam dalam pelancaran dokumen pejabat Base64 yang disulitkan PowerShell skrip sebaliknya untuk memuat turun muatan yang berniat jahat.

Sebaik sahaja sistem yang dijangkiti, ransomware tersebut bermula menyulitkan fail pengguna dan menambah sambungan ‘.spider’ setiap fail yang terlibat.

Mujurlah, decrypter yang telah dicipta untuk memaparkan antaramuka pengguna dan biarkan mereka nyahsulitkan fail tersebut menggunakan kekunci dekripsi. Ia dilaksanakan bersama-sama dengan encrypter ini, Walau bagaimanapun, ia berjalan di latar belakang sehingga proses penyulitan telah siap.

Menurut Netskope yang pakar Amit Malik, monitor decrypter labah-labah sistem memproses dan menghalang pelancaran alat seperti taskmgr, procexp, msconfig, regedit, cmd, outlook, winword, cemerlang, dan msaccess.

Semasa proses penyulitan, Spider ransomware melangkau fail dalam folder berikut: tmp, video, winnt, Data permohonan, labah-labah, PrefLogs, fail atur cara (x86), fail atur cara, ProgramData, Temp, kitar semula, sistem maklumat volum, but dan Windows.

Apabila proses penyulitan siap, decrypter yang mengeluarkan amaran (tersedia dalam Bahasa Inggeris dan Croatia) untuk memaklumkan pengguna mengenai cara-cara untuk menyah enkripsi fail mereka.

Di samping itu, Terdapat satu bahagian bantuan termasuk rujukan kepada sumber-sumber yang diperlukan untuk membuat pembayaran yang terletak kira-kira $120.

“Sebagai ransomware terus berkembang, pentadbir perlu mendidik kakitangan mengenai kesan ransomware dan menjamin perlindungan data organisasi dengan membuat sandaran data kritikal biasa. Di samping itu untuk menyahdaya makro secara lalai, pengguna juga perlu berhati-hati terhadap dokumen yang hanya mengandungi mesej supaya makro untuk melihat kandungan dan juga bukan untuk melaksanakan makro tidak ditandatangani dan makro dari sumber yang tidak dipercayai,” keadaan penyelidik Netskope.


Leave a Reply

Your email address will not be published. Required fields are marked *