PC-användare som riktade av Spider Ransomware

Computer Security News

Säkerhetsforskare rapporterade att samtidigt analysera en mitten skala kampanj under helgen, har de funnit en ny ransomware-familj. Det nya hotet kallas Spider ransomware och den använder lockbete dokument auto-synkroniseras till företagsmolnapplikationer lagring och samarbeten.

Enligt experterna som i Spider ransomware distribueras via ett Office-dokument som riktar sig till användare i Bosnien och Hercegovina, Serbien och Kroatien.

Spam e-postmeddelanden ser ut som avsändaren kommer att samla vissa skulder från mottagaren, lura användaren att öppna den bifogade filen.

Dock krypterad obfuskerade makrokoden inbäddad i Office-dokument lanserar en Base64 PowerShell-skript i stället för att ladda ner skadlig nyttolasten.

När systemet är infekterat, ransomware börjar kryptera användarens filer och varje drabbade filen läggs tillägget ‘.spider’.

Lyckligtvis, en decrypter skapades för att visa användargränssnittet och låt dem dekryptera filer med hjälp av en dekrypteringsnyckel. Det körs parallellt med encrypter, men det körs i bakgrunden tills krypteringen har slutförts.

Enligt Netskope’s expert Amit Malik, Spider decrypter monitorerna system behandlar och förebygger lanseringen av verktyg som taskmgr, procedur, msconfig, regedit, cmd, outlook, winword, excel, och msaccess.

Under krypteringsprocessen Spider ransomware hoppar filer i följande mappar: tmp, videor, winnt, programdata, spindel, PrefLogs, programfiler (x86), programfiler, ProgramData, Temp, återvinning, System Volume Information, Boot och Windows.

När krypteringen är klar, visar decrypter en varning (tillgänglig på engelska och kroatiska) för att informera användarna om hur de dekryptera deras filer.

Dessutom finns det ett hjälpavsnitt som innehåller länkar och referenser till de resurser som behövs för att göra betalningen vilket är ca $120.

”Ransomware fortsätter att utvecklas, administratörer bör utbilda anställda om effekterna av ransomware och säkerställa skyddet av organisationens data genom att göra en regelbunden säkerhetskopiering av kritiska data. Förutom att inaktivera makron som standard, användare måste också vara försiktig med dokument som endast innehåller ett meddelande Aktivera makron Visa innehållet och också inte verkställa osignerade makron och makron från opålitliga källor ”, Netskope forskare staten.


Leave a Reply

Your email address will not be published. Required fields are marked *