Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Шифровальщик атакует пользователей Балкан в рамках кампании, «средних масштабов».
Новая разновидность программ-вымогателей, называемая Spider, атакует пользователей Балкан в рамках кампании, масштаб которой оценивают как «средний».
Уникальность вымогателя Spider заключается в том, что злоумышленники дают всего 96 часов на выплату выкупа. Преступники успокаивают жертв, что вернуть документы «очень просто». Более того, они оставили ссылку на видеоинструкцию, как в Spider производится выплата выкупа и восстановление файлов.
Кампанию заметили 10 декабря специалисты из лаборатории Netskope Threat Research, которые поделились своей находкой во вторник в посте в блоге.
Жертвы фишинговой рассылки получают во вложениях писем вредоносные документы Office. В качестве темы указана фраза «Potrazivanje dugovanja» на боснийском языке или «Взыскание задолженности» в переводе Google Translate.
Вложения автоматически синхронизируются с корпоративными облачными хранилищами и приложениями для коллективной работы. Зараженные документы Office составлены на боснийском языке и содержат замаскированный код. При открытии вредоносного файла открывается оболочка Windows PowerShell, выполняющая инструкции по загрузке данных шифровальщика в кодировке Base64 с веб-сайта на бесплатном хостинге.
«После получения полезной нагрузки скрипт PowerShell раскодирует строку Base64 и производит операцию XOR с ключом AlberTI, чтобы раскодировать полезную нагрузку в конечном виде, а затем сохраняет ее как исполняемые файлы .exe, — пишут первооткрыватели Spider. — Раскодированная полезная нагрузка представлена файлами dec.exe и enc.exe на платформе .NET, скопированными в директорию %APPDATA%/Spider».
Как сообщают Netskope, исполняемый файл enc.exe является шифровальщиком, а dec.exe отвечает за расшифровку данных. Первый пропускает через себя файлы пользователя, применяя AES-шифрование, и добавляет расширение .spider к зашифрованным документам.
Как только зловред зашифрует все файлы, он показывает жертве предупреждение о том, что у нее есть всего 96 часов, чтобы заплатить выкуп в биткойнах и получить ключ для восстановления документов.
«Действуйте быстро. Спустя 96 часов ваш ключ будет заблокирован и все ваши файлы так и останутся зашифрованными. Не делайте глупостей — в нашей программе предусмотрен ряд защитных мер, способных удалить ваши файлы и повредить компьютер», — написано в предупреждении злоумышленников.
Киберпреступники также в деталях описывают процесс платежа — от инструкций по использованию Tor Browser до получения биткойнов для передачи выкупа. В программе-вымогателе есть ссылка на видеоролик с инструкциями на случай, если текстовых пояснений окажется недостаточно.
Автор поста, Амит Малик (Amit Malik) из Netskope, порекомендовал пользователям отключить выполнение макросов по умолчанию и не запускать неподписанные макросы из неизвестных источников, чтобы не попасть под удар Spider или других атак вымогателей. «Все чаще на наших глазах в качестве орудия атаки применяются подставные документы Office для распространения программ-вымогателей, таких как GlobeImposter, что мы наблюдаем на примере нескольких активных кампаний», — отметил автор.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |