SOS :: Security Operation Space
18 июля, среда, 00:00
|
Hot News:

Новый вымогатель Spider дает 96 часов на выплату выкупа

14 декабря 2017 г., четверг, 17:57

Шифровальщик атакует пользователей Балкан в рамках кампании, «средних масштабов».

Новая разновидность программ-вымогателей, называемая Spider, атакует пользователей Балкан в рамках кампании, масштаб которой оценивают как «средний».

Уникальность вымогателя Spider заключается в том, что злоумышленники дают всего 96 часов на выплату выкупа. Преступники успокаивают жертв, что вернуть документы «очень просто». Более того, они оставили ссылку на видеоинструкцию, как в Spider производится выплата выкупа и восстановление файлов.

Кампанию заметили 10 декабря специалисты из лаборатории Netskope Threat Research, которые поделились своей находкой во вторник в посте в блоге.

Жертвы фишинговой рассылки получают во вложениях писем вредоносные документы Office. В качестве темы указана фраза «Potrazivanje dugovanja» на боснийском языке или «Взыскание задолженности» в переводе Google Translate.

Вложения автоматически синхронизируются с корпоративными облачными хранилищами и приложениями для коллективной работы. Зараженные документы Office составлены на боснийском языке и содержат замаскированный код. При открытии вредоносного файла открывается оболочка Windows PowerShell, выполняющая инструкции по загрузке данных шифровальщика в кодировке Base64 с веб-сайта на бесплатном хостинге.

«После получения полезной нагрузки скрипт PowerShell раскодирует строку Base64 и производит операцию XOR с ключом AlberTI, чтобы раскодировать полезную нагрузку в конечном виде, а затем сохраняет ее как исполняемые файлы .exe, — пишут первооткрыватели Spider. — Раскодированная полезная нагрузка представлена файлами dec.exe и enc.exe на платформе .NET, скопированными в директорию %APPDATA%/Spider».

Как сообщают Netskope, исполняемый файл enc.exe является шифровальщиком, а dec.exe отвечает за расшифровку данных. Первый пропускает через себя файлы пользователя, применяя AES-шифрование, и добавляет расширение .spider к зашифрованным документам.

Как только зловред зашифрует все файлы, он показывает жертве предупреждение о том, что у нее есть всего 96 часов, чтобы заплатить выкуп в биткойнах и получить ключ для восстановления документов.

«Действуйте быстро. Спустя 96 часов ваш ключ будет заблокирован и все ваши файлы так и останутся зашифрованными. Не делайте глупостей — в нашей программе предусмотрен ряд защитных мер, способных удалить ваши файлы и повредить компьютер», — написано в предупреждении злоумышленников.

Киберпреступники также в деталях описывают процесс платежа — от инструкций по использованию Tor Browser до получения биткойнов для передачи выкупа. В программе-вымогателе есть ссылка на видеоролик с инструкциями на случай, если текстовых пояснений окажется недостаточно.

Автор поста, Амит Малик (Amit Malik) из Netskope, порекомендовал пользователям отключить выполнение макросов по умолчанию и не запускать неподписанные макросы из неизвестных источников, чтобы не попасть под удар Spider или других атак вымогателей. «Все чаще на наших глазах в качестве орудия атаки применяются подставные документы Office для распространения программ-вымогателей, таких как GlobeImposter, что мы наблюдаем на примере нескольких активных кампаний», — отметил автор.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
06:30
05:30
04:24
16:22
15:49
13:35
12:51
12:47
02:34
16:44
16:23
16:12
15:47
15:20
15:12
13:51
02:45
16:19


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.089
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.