Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Opisi virusa, 12.12.2017, 10:00 AM

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Korisnici interneta u Srbiji, Bosni i Hercegovini i Hrvatskoj ciljevi su novog ransomwarea nazvanog FileSpider koji se širi preko spam emailova koji sadrže maliciozne Word dokumente koji preuzimaju i instaliraju ransomware na računarima žrtava.

Spam emailovi su naslovljeni sa "Potraživanje dugovanja", a sadržaj emaila je na srpkom.

Ovi emailovi sadrže Word dokumente sa malicioznim makroima koji su predstavljeni kao obaveštenje o potraživanjima dugovanja.

Ako korisnik klikne na Enable Editing, ugrađeni makro koji sadrži PowerShell skriptu će preuzeti ransomware i pokrenuti ga. Makro preuzima dva fajla: enc.exe i dec.exe koji će, kada se dešifruju, biti sačuvani u %AppData%Spider folderu.

PowerShell skripta će zatim pokrenuti i enc.exe fajl, koji je enkripter, i dec.exe, koji je dekripter. Sada FileSpider počinje da šifruje fajlove na inficiranim računarima.

Dec.exe je dekripter i GUI za ransomware i on nečujno radi u pozadini dok enc.exe šifruje fajlove.

Enc.exe skenira lokalne diskove i šifruje sve fajlove sa odgovarajućim ekstenzijama sa AES-128 bitnom enkripcijom. AES ključ je zatim šifruje pomoću ugrađenog RSA ključa i zatim će biti sačuvan.

Ransomware ne šifruje fajlove u folderima tmp, Videos, winnt, Application Data, Spider, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, Recycle, System Volume Information, Boot, Windows.

Svakom šifrovanom fajlu dodaje se ekstenzija .spider.

U svakom folderu u kome ima šifrovanih fajlova, enkripter ostavlja obaveštenje nazvano HOW TO DECRYPT FILES.url, koje kada se na njega klikne otvara video tutorijal na adresi https://vid.me/embedded/CGyDc?autoplay=1&stats=1.

Enkripter ostavlja na radnoj površini fajl nazvan DECRYPTER.url, koji pokreće fajl dec.exe.

Na kraju, enc.exe će kreirati fajl %UserProfile%AppDataRoamingSpider5p1d3r. Kada dec.exe primeti da je taj fajl kreiran, on će prikazati GUI koji sadrži nekoliko tabova koji omogućavaju prelazak sa engleskog na srpski, prikazuje TOR sajt za plaćanje na http://spiderwjzbmsmu7y.onion, ID žrtve potreban za prijavljivanje na TOR sajt, dekripter i fajl za pomoć. GUI takođe sadrži i kontakt email file-spider@protonmail.ch.

Kada žrtva ode na TOR sajt od nje se traži da se prijavi pomoću pomenutog ID-ja. Kada se prijavi, žrtvi će biti prikazana stranica sa uputstvom kako da plati otkupninu, koja trenutno iznosi 0,00726 Bitcoina, ili oko 123 dolara, da bi joj fajlovi bili vraćeni.

Za sada nema besplatnog rešenja za ovaj ransomware.

Detaljnu analizu ovog malvera možete naći na blogu sdkhere.com.

Da biste se zaštitili od ovog ali i drugih ransomwarea, osim što bi trebalo da koristite pouzdani antivirus, trebalo bi da budete oprezni i ne otvarate priloge u emailovima za koje niste sigurni ko ih je poslao. Čak i ako poznajete pošiljoca, ne otvarajte prilog ako niste dobili potvrdu da je ta osoba zaista poslala takav email. Preuzimajte redovno najnovija ažuriranja za Windows, ali i za programe instalirane na računaru, jer se često dešava da distributeri malvera iskorišćavaju poznate bezbednosne propuste da bi inficirali računare. I na kraju, ne zaboravite na rezervne kopije važnih podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje