網站首頁 > 熱門病毒專題 > 警惕:新型勒索軟件“File Spider”偽裝成收債郵件
 
標題:警惕:新型勒索軟件“File Spider”偽裝成收債郵件
分類:熱門病毒專題 日期:2017/12/21 上午 09:42:51
安全研究人員最近發現一款名為“File Spider(文件蜘蛛)”的新型勒索軟件正在通過垃圾電子郵件分發,目前正針對波黑、塞爾維亞和克羅地亞等巴爾幹半島國家發起攻擊。
 
垃圾郵件以“Potrazivanje dugovanja”為主題,這是塞爾維亞和克羅地亞使用的一種語言,意思是“債務收集”,這意味著垃圾郵件偽裝成了收債通知。
 
 
 
垃圾郵件攜帶有一個嵌入惡意宏的Word文檔作為附件。
 
 
 
如果收件人在打開文檔後並單擊了“啟用內容(Enable Content)”按鈕,惡意宏將從遠程站點下載File Spider的可執行文件並執行它們。
 
 
 
這個惡意宏包含Base64編碼的PowerShell腳本,該腳本在執行時將從遠程站點下載名為“enc.exe”和“dec.exe”的XOR加密文件。用於下載文件的網址是:
 
http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js 
 
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js 
 
下載文件時,它們將被解密並保存到%AppData%\ Spider文件夾。
 
然後,PowerShell腳本將使用以下命令執行加密程序enc.exe、解密程序dec.exe以及圖形用戶界面(GUI):
 
"%AppData%\Roaming\Spider\enc.exe" spider ktn 100 
 
"%AppData%\ Roaming\Spider\dec.exe" spider
 
完成這些步驟之後,File Spider將正式開始加密受害者的計算機文件。
 
當enc.exe運行時,它將掃描計算機硬盤,並使用AES-128加密算法對與目標擴展名匹配的所有文件進行加密。然後,使用捆綁的RSA密鑰對此AES密鑰進行加密並保存
 
加密時,它將跳過位於以下文件夾:
 
 
 
當文件被加密時,它會將原始文件名記錄到%UserProfile%\ AppData \ Roaming \ Spider \ files.txt ,並將.spider擴展名附加到被加密文件的文件名中。例如,名為test.jpg的文件在被加密後,文件名將更改為test.jpg.spider。
 
 
 
在被加密文件位於的文件夾中,enc.exe還將創建一個名為“ HOW TO DECRYPT FILES.url”的贖金票據。當受害者打開這個文件時,一段視頻將被播放。
 
enc.exe還將在桌面上創建一個名為“DECRYPTER.url”的文件,該文件用於啟動dec.exe。
 
最後,enc.exe會在創建一個名為“%UserProfile%\ AppData \ Roaming \ Spider \ 5p1d3r”的文件後退出。當dec.exe檢測到這個文件被創建時,它將顯示如下圖所示的圖形用戶界面。
 
 
圖形用戶界麵包含有多個選項卡,允許受害者切換英語或克羅地亞語。主要用於顯示付款地址、聯繫電子郵箱地址、受害者ID、解密密鑰輸入框和幫助說明。
 
當打開這個付款地址時,頁面會提示受害者使用圖形用戶界面中的受害者ID進行登錄。登錄後,將看到一個頁面,提供有關如何支付贖金(贖金設定為0.00726比特幣,約價值123.25美元)的說明,以獲取文件。
 
 
 
研究人員表示,對於File Spider的分析目前還在進行中。但由於AES密鑰使用了捆綁的RSA密鑰進行加密,因此文件幾乎不可能被免費解密。
 
 
 
CopyRight  © 江民科技 1996 - 2021 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw