Новый вымогатель Spider дает 96 часов на выплату выкупа

Шифровальщик атакует пользователей Балкан в рамках кампании, «средних масштабов».

Новая разновидность программ-вымогателей, называемая Spider, атакует пользователей Балкан в рамках кампании, масштаб которой оценивают как «средний».

Уникальность вымогателя Spider заключается в том, что злоумышленники дают всего 96 часов на выплату выкупа. Преступники успокаивают жертв, что вернуть документы «очень просто». Более того, они оставили ссылку на видеоинструкцию, как в Spider производится выплата выкупа и восстановление файлов.

Кампанию заметили 10 декабря специалисты из лаборатории Netskope Threat Research, которые поделились своей находкой во вторник в посте в блоге.

Жертвы фишинговой рассылки получают во вложениях писем вредоносные документы Office. В качестве темы указана фраза «Potrazivanje dugovanja» на боснийском языке или «Взыскание задолженности» в переводе Google Translate.

Вложения автоматически синхронизируются с корпоративными облачными хранилищами и приложениями для коллективной работы. Зараженные документы Office составлены на боснийском языке и содержат замаскированный код. При открытии вредоносного файла открывается оболочка Windows PowerShell, выполняющая инструкции по загрузке данных шифровальщика в кодировке Base64 с веб-сайта на бесплатном хостинге.

«После получения полезной нагрузки скрипт PowerShell раскодирует строку Base64 и производит операцию XOR с ключом AlberTI, чтобы раскодировать полезную нагрузку в конечном виде, а затем сохраняет ее как исполняемые файлы .exe, — пишут первооткрыватели Spider. — Раскодированная полезная нагрузка представлена файлами dec.exe и enc.exe на платформе .NET, скопированными в директорию %APPDATA%/Spider».

Как сообщают Netskope, исполняемый файл enc.exe является шифровальщиком, а dec.exe отвечает за расшифровку данных. Первый пропускает через себя файлы пользователя, применяя AES-шифрование, и добавляет расширение .spider к зашифрованным документам.

Как только зловред зашифрует все файлы, он показывает жертве предупреждение о том, что у нее есть всего 96 часов, чтобы заплатить выкуп в биткойнах и получить ключ для восстановления документов.

«Действуйте быстро. Спустя 96 часов ваш ключ будет заблокирован и все ваши файлы так и останутся зашифрованными. Не делайте глупостей — в нашей программе предусмотрен ряд защитных мер, способных удалить ваши файлы и повредить компьютер», — написано в предупреждении злоумышленников.

Киберпреступники также в деталях описывают процесс платежа — от инструкций по использованию Tor Browser до получения биткойнов для передачи выкупа. В программе-вымогателе есть ссылка на видеоролик с инструкциями на случай, если текстовых пояснений окажется недостаточно.

Автор поста, Амит Малик (Amit Malik) из Netskope, порекомендовал пользователям отключить выполнение макросов по умолчанию и не запускать неподписанные макросы из неизвестных источников, чтобы не попасть под удар Spider или других атак вымогателей. «Все чаще на наших глазах в качестве орудия атаки применяются подставные документы Office для распространения программ-вымогателей, таких как GlobeImposter, что мы наблюдаем на примере нескольких активных кампаний», — отметил автор.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

1

Всего голосов: 1

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля