By | December 14, 2017

חוקרי האבטחה דיווח כי במהלך ניתוח קמפיין אמצע הסולם במהלך סוף השבוע, הם מצאו משפחה חדשה ransomware. האיום החדש נקרא Spider ransomware, היא משתמשת דמה מסמכים אוטומטי-שמסתנכרנות ל יישומים ארגוניים ענן אחסון ושיתופי פעולה.

לפי המומחים, ה Spider ransomware מופץ באמצעות מסמך Office אשר מטרות משתמשים ב בוסניה והרצגובינה, סרביה, קרואטיה.

הזבל מיילים נראה השולח הולך לאסוף חוב מהנמען, הטעיית המשתמש לתוך לפתוח את הקובץ המצורף.

עם זאת, קוד המאקרו מבלבל המוטבעות במסמך Office משיקה Base64 מוצפנים הסקריפט PowerShell במקום להוריד את המנה הזדונית.

פעם המערכת נגוע, ransomware מתחיל הצפנת הקבצים של המשתמש, מוסיף את סיומת ‘.spider’ כל הקובץ המושפע.

למרבה המזל, decrypter נוצר כדי להציג את הממשק למשתמשים ולתת להם לפענח את הקבצים באמצעות מפתח הפענוח. זה מבוצע לצד encrypter, עם זאת, הוא פועל ברקע עד שיושלם תהליך ההצפנה.

על-פי מליק עמית מומחה של Netskope, המסכים decrypter עכביש מערכת תהליכים ומונעת את ההשקה של כלים כמו רשימת פעולות לביצוע, procexp, msconfig, regedit, cmd, outlook, הפקודה winword, excel, ו msaccess.

בעת תהליך ההצפנה, Spider ransomware מדלגת על קבצים בתיקיות הבאות: tmp, קטעי וידאו, winnt, נתוני יישום, עכביש, PrefLogs, קבצי התוכנית (x86), Program Files, ProgramData, Temp, למחזר, מידע אודות אמצעי אחסון של המערכת, אתחול וחלונות.

כאשר הושלם תהליך ההצפנה, decrypter מציג אזהרה (זמין ב קרואטית ואנגלית) כדי להודיע למשתמשים כיצד לפענח את הקבצים שלהם.

בנוסף, יש מקטע העזרה הכולל קישורים והפניות המשאבים הדרושים לביצוע התשלום המהווה כ 120 דולר.

“Ransomware ממשיכה להתפתח, מנהלי מערכת צריכים לחנך את העובדים לגבי ההשפעה של ransomware, להבטיח ההגנה על הנתונים של הארגון על-ידי יצירת גיבוי רגיל של נתונים קריטיים. בנוסף בהשבתת פקודות מאקרו כברירת מחדל, המשתמשים חייב גם להיות זהיר של מסמכים המכילים רק הודעה כדי להפעיל פקודות מאקרו כדי להציג את התוכן וגם לא כדי לבצע פקודות מאקרו שאינן חתומות, פקודות מאקרו ממקורות לא אמינים,” המדינה חוקרים Netskope.

Leave a Reply

Your email address will not be published. Required fields are marked *