Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Opisi virusa, 12.12.2017, 10:00 AM

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Korisnici interneta u Srbiji, Bosni i Hercegovini i Hrvatskoj ciljevi su novog ransomwarea nazvanog FileSpider koji se širi preko spam emailova koji sadrže maliciozne Word dokumente koji preuzimaju i instaliraju ransomware na računarima žrtava.

Spam emailovi su naslovljeni sa "Potraživanje dugovanja", a sadržaj emaila je na srpkom.

Ovi emailovi sadrže Word dokumente sa malicioznim makroima koji su predstavljeni kao obaveštenje o potraživanjima dugovanja.

Ako korisnik klikne na Enable Editing, ugrađeni makro koji sadrži PowerShell skriptu će preuzeti ransomware i pokrenuti ga. Makro preuzima dva fajla: enc.exe i dec.exe koji će, kada se dešifruju, biti sačuvani u %AppData%Spider folderu.

PowerShell skripta će zatim pokrenuti i enc.exe fajl, koji je enkripter, i dec.exe, koji je dekripter. Sada FileSpider počinje da šifruje fajlove na inficiranim računarima.

Dec.exe je dekripter i GUI za ransomware i on nečujno radi u pozadini dok enc.exe šifruje fajlove.

Enc.exe skenira lokalne diskove i šifruje sve fajlove sa odgovarajućim ekstenzijama sa AES-128 bitnom enkripcijom. AES ključ je zatim šifruje pomoću ugrađenog RSA ključa i zatim će biti sačuvan.

Ransomware ne šifruje fajlove u folderima tmp, Videos, winnt, Application Data, Spider, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, Recycle, System Volume Information, Boot, Windows.

Svakom šifrovanom fajlu dodaje se ekstenzija .spider.

U svakom folderu u kome ima šifrovanih fajlova, enkripter ostavlja obaveštenje nazvano HOW TO DECRYPT FILES.url, koje kada se na njega klikne otvara video tutorijal na adresi https://vid.me/embedded/CGyDc?autoplay=1&stats=1.

Enkripter ostavlja na radnoj površini fajl nazvan DECRYPTER.url, koji pokreće fajl dec.exe.

Na kraju, enc.exe će kreirati fajl %UserProfile%AppDataRoamingSpider5p1d3r. Kada dec.exe primeti da je taj fajl kreiran, on će prikazati GUI koji sadrži nekoliko tabova koji omogućavaju prelazak sa engleskog na srpski, prikazuje TOR sajt za plaćanje na http://spiderwjzbmsmu7y.onion, ID žrtve potreban za prijavljivanje na TOR sajt, dekripter i fajl za pomoć. GUI takođe sadrži i kontakt email [email protected]

Kada žrtva ode na TOR sajt od nje se traži da se prijavi pomoću pomenutog ID-ja. Kada se prijavi, žrtvi će biti prikazana stranica sa uputstvom kako da plati otkupninu, koja trenutno iznosi 0,00726 Bitcoina, ili oko 123 dolara, da bi joj fajlovi bili vraćeni.

Za sada nema besplatnog rešenja za ovaj ransomware.

Detaljnu analizu ovog malvera možete naći na blogu sdkhere.com.

Da biste se zaštitili od ovog ali i drugih ransomwarea, osim što bi trebalo da koristite pouzdani antivirus, trebalo bi da budete oprezni i ne otvarate priloge u emailovima za koje niste sigurni ko ih je poslao. Čak i ako poznajete pošiljoca, ne otvarajte prilog ako niste dobili potvrdu da je ta osoba zaista poslala takav email. Preuzimajte redovno najnovija ažuriranja za Windows, ali i za programe instalirane na računaru, jer se često dešava da distributeri malvera iskorišćavaju poznate bezbednosne propuste da bi inficirali računare. I na kraju, ne zaboravite na rezervne kopije važnih podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver za Windows, nazvan MosaicLoader, širi se po celom svetu, kao platforma za isporuku malvera koja se koristi za infekciju računara žrtava... Dalje

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Istraživači kompanije Avast upozorili su na piratske verzije popularnih igara u koje je ubačen malver Crackonosh. Crackonosh nije novi malver. On j... Dalje

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje