最新病毒库日期:
  • 警惕:新型勒索软件“File Spider”伪装成收债邮件
2017-12-14 09:39 来源:未知
【文章摘要】最近发现一款名为“File Spider(文件蜘蛛)”的新型勒索软件正在通过垃圾电子邮件分发,目前正针对波黑、塞尔维亚和克罗地亚等巴尔干半岛国家发起攻击。
安全研究人员最近发现一款名为“File Spider(文件蜘蛛)”的新型勒索软件正在通过垃圾电子邮件分发,目前正针对波黑、塞尔维亚和克罗地亚等巴尔干半岛国家发起攻击。
 
垃圾邮件以“Potrazivanje dugovanja”为主题,这是塞尔维亚和克罗地亚使用的一种语言,意思是“债务收集”,这意味着垃圾邮件伪装成了收债通知。
 
 
 
垃圾邮件携带有一个嵌入恶意宏的Word文档作为附件。
 
 
 
如果收件人在打开文档后并单击了“启用内容(Enable Content)”按钮,恶意宏将从远程站点下载File Spider的可执行文件并执行它们。
 
 
 
这个恶意宏包含Base64编码的PowerShell脚本,该脚本在执行时将从远程站点下载名为“enc.exe”和“dec.exe”的XOR加密文件。用于下载文件的网址是:
 
http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js
 
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js
 
下载文件时,它们将被解密并保存到%AppData%\ Spider文件夹。
 
然后,PowerShell脚本将使用以下命令执行加密程序enc.exe、解密程序dec.exe以及图形用户界面(GUI):
 
"%AppData%\Roaming\Spider\enc.exe" spider ktn 100
 
"%AppData%\Roaming\Spider\dec.exe" spider
 
完成这些步骤之后,File Spider将正式开始加密受害者的计算机文件。
 
当enc.exe运行时,它将扫描计算机硬盘,并使用AES-128加密算法对与目标扩展名匹配的所有文件进行加密。然后,使用捆绑的RSA密钥对此AES密钥进行加密并保存
 
加密时,它将跳过位于以下文件夹:
 
 
 
当文件被加密时,它会将原始文件名记录到%UserProfile%\ AppData \ Roaming \ Spider \ files.txt ,并将.spider扩展名附加到被加密文件的文件名中。例如,名为test.jpg的文件在被加密后,文件名将更改为test.jpg.spider。
 
 
 
在被加密文件位于的文件夹中,enc.exe还将创建一个名为“ HOW TO DECRYPT FILES.url”的赎金票据。当受害者打开这个文件时,一段视频将被播放。
 
enc.exe还将在桌面上创建一个名为“DECRYPTER.url”的文件,该文件用于启动dec.exe。
 
最后,enc.exe会在创建一个名为“%UserProfile%\ AppData \ Roaming \ Spider \ 5p1d3r”的文件后退出。当dec.exe检测到这个文件被创建时,它将显示如下图所示的图形用户界面。
 
 
图形用户界面包含有多个选项卡,允许受害者切换英语或克罗地亚语。主要用于显示付款地址、联系电子邮箱地址、受害者ID、解密密钥输入框和帮助说明。
 
当打开这个付款地址时,页面会提示受害者使用图形用户界面中的受害者ID进行登录。登录后,将看到一个页面,提供有关如何支付赎金(赎金设定为0.00726比特币,约价值123.25美元)的说明,以获取文件。
 
 
 
研究人员表示,对于File Spider的分析目前还在进行中。但由于AES密钥使用了捆绑的RSA密钥进行加密,因此文件几乎不可能被免费解密。