<form id="4qofd"></form>

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地

責(zé)任編輯:editor004

2017-12-14 11:29:52

摘自:E安全

這個惡意宏包含Base64編碼的PowerShell腳本,該腳本在執(zhí)行時將從遠(yuǎn)程站點(diǎn)下載名為“enc exe”和“dec exe”的XOR加密文件。然后,PowerShell腳本將使用以下命令執(zhí)行加密程序enc exe、解密程序dec exe以及圖形用戶界面(GUI):

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地亞等巴爾干半島國家-E安全

安全研究人員最近發(fā)現(xiàn)一款名為“File Spider(文件蜘蛛)”的新型勒索軟件正在通過垃圾電子郵件分發(fā),目前正針對波黑、塞爾維亞和克羅地亞等巴爾干半島國家發(fā)起攻擊。

垃圾郵件以“Potrazivanje dugovanja”為主題,這是塞爾維亞和克羅地亞使用的一種語言,意思是“債務(wù)收集”,這意味著垃圾郵件偽裝成了收債通知。

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地亞等巴爾干半島國家-E安全

  垃圾郵件攜帶有一個嵌入惡意宏的Word文檔作為附件。

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地亞等巴爾干半島國家-E安全

如果收件人在打開文檔后并單擊了“啟用內(nèi)容(Enable Content)”按鈕,惡意宏將從遠(yuǎn)程站點(diǎn)下載File Spider的可執(zhí)行文件并執(zhí)行它們。

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地亞等巴爾干半島國家-E安全

這個惡意宏包含Base64編碼的PowerShell腳本,該腳本在執(zhí)行時將從遠(yuǎn)程站點(diǎn)下載名為“enc.exe”和“dec.exe”的XOR加密文件。用于下載文件的網(wǎng)址是:

http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js

http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js

下載文件時,它們將被解密并保存到%AppData% Spider文件夾。

然后,PowerShell腳本將使用以下命令執(zhí)行加密程序enc.exe、解密程序dec.exe以及圖形用戶界面(GUI):

"%AppData%RoamingSpiderenc.exe" spider ktn 100

"%AppData%RoamingSpiderdec.exe" spider

完成這些步驟之后,F(xiàn)ile Spider將正式開始加密受害者的計算機(jī)文件。

當(dāng)enc.exe運(yùn)行時,它將掃描計算機(jī)硬盤,并使用AES-128加密算法對與目標(biāo)擴(kuò)展名匹配的所有文件進(jìn)行加密。然后,使用捆綁的RSA密鑰對此AES密鑰進(jìn)行加密并保存

加密時,它將跳過位于以下文件夾:

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地亞等巴爾干半島國家-E安全

當(dāng)文件被加密時,它會將原始文件名記錄到%UserProfile% AppData Roaming Spider files.txt ,并將.spider擴(kuò)展名附加到被加密文件的文件名中。例如,名為test.jpg的文件在被加密后,文件名將更改為test.jpg.spider。

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地亞等巴爾干半島國家-E安全

在被加密文件位于的文件夾中,enc.exe還將創(chuàng)建一個名為“ HOW TO DECRYPT FILES.url”的贖金票據(jù)。當(dāng)受害者打開這個文件時,一段視頻將被播放。

enc.exe還將在桌面上創(chuàng)建一個名為“DECRYPTER.url”的文件,該文件用于啟動dec.exe。

最后,enc.exe會在創(chuàng)建一個名為“%UserProfile% AppData Roaming Spider 5p1d3r”的文件后退出。當(dāng)dec.exe檢測到這個文件被創(chuàng)建時,它將顯示如下圖所示的圖形用戶界面。

新型勒索軟件“File Spider”偽裝成收債郵件,攻擊波黑、塞爾維亞和克羅地亞等巴爾干半島國家-E安全

圖形用戶界面包含有多個選項卡,允許受害者切換英語或克羅地亞語。主要用于顯示付款地址、聯(lián)系電子郵箱地址、受害者ID、解密密鑰輸入框和幫助說明。

當(dāng)打開這個付款地址時,頁面會提示受害者使用圖形用戶界面中的受害者ID進(jìn)行登錄。登錄后,將看到一個頁面,提供有關(guān)如何支付贖金(贖金設(shè)定為0.00726比特幣,約價值123.25美元)的說明,以獲取文件。

研究人員表示,對于File Spider的分析目前還在進(jìn)行中。但由于AES密鑰使用了捆綁的RSA密鑰進(jìn)行加密,因此文件幾乎不可能被免費(fèi)解密。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號