安全研究人员最近发现一款名为“File Spider(文件蜘蛛)”的新型勒索软件正在通过垃圾电子邮件分发,目前正针对波黑、塞尔维亚和克罗地亚等巴尔干半岛国家发起攻击。
垃圾邮件以“Potrazivanje dugovanja”为主题,这是塞尔维亚和克罗地亚使用的一种语言,意思是“债务收集”,这意味着垃圾邮件伪装成了收债通知。
垃圾邮件携带有一个嵌入恶意宏的Word文档作为附件。
如果收件人在打开文档后并单击了“启用内容(Enable Content)”按钮,恶意宏将从远程站点下载File Spider的可执行文件并执行它们。
这个恶意宏包含Base64编码的PowerShell脚本,该脚本在执行时将从远程站点下载名为“enc.exe”和“dec.exe”的XOR加密文件。用于下载文件的 址是:
http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js
下载文件时,它们将被解密并保存到%AppData% Spider文件夹。
然后,PowerShell脚本将使用以下命令执行加密程序enc.exe、解密程序dec.exe以及图形用户界面(GUI):
“%AppData%RoamingSpiderenc.exe” spider ktn 100
“%AppData%RoamingSpiderdec.exe” spider
完成这些步骤之后,File Spider将正式开始加密受害者的计算机文件。
当enc.exe运行时,它将扫描计算机硬盘,并使用AES-128加密算法对与目标扩展名匹配的所有文件进行加密。然后,使用捆绑的RSA密钥对此AES密钥进行加密并保存
加密时,它将跳过位于以下文件夹:
当文件被加密时,它会将原始文件名记录到%UserProfile% AppData Roaming Spider files.txt ,并将.spider扩展名附加到被加密文件的文件名中。例如,名为test.jpg的文件在被加密后,文件名将更改为test.jpg.spider。
在被加密文件位于的文件夹中,enc.exe还将创建一个名为“ HOW TO DECRYPT FILES.url”的赎金票据。当受害者打开这个文件时,一段视频将被播放。
enc.exe还将在桌面上创建一个名为“DECRYPTER.url”的文件,该文件用于启动dec.exe。
最后,enc.exe会在创建一个名为“%UserProfile% AppData Roaming Spider 5p1d3r”的文件后退出。当dec.exe检测到这个文件被创建时,它将显示如下图所示的图形用户界面。
图形用户界面包含有多个选项卡,允许受害者切换英语或克罗地亚语。主要用于显示付款地址、联系电子邮箱地址、受害者ID、解密密钥输入框和帮助说明。
当打开这个付款地址时,页面会提示受害者使用图形用户界面中的受害者ID进行登录。登录后,将看到一个页面,提供有关如何支付赎金(赎金设定为0.00726比特币,约价值123.25美元)的说明,以获取文件。
研究人员表示,对于File Spider的分析目前还在进行中。但由于AES密钥使用了捆绑的RSA密钥进行加密,因此文件几乎不可能被免费解密。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!