網站首頁
>
熱門病毒專題
>
警惕:新型勒索軟件“File Spider”偽裝成收債郵件
標題:警惕:新型勒索軟件“File Spider”偽裝成收債郵件
分類:熱門病毒專題
日期:2017/12/21 上午 09:42:51
安全研究人員最近發現一款名為“File Spider(文件蜘蛛)”的新型勒索軟件正在通過垃圾電子郵件分發,目前正針對波黑、塞爾維亞和克羅地亞等巴爾幹半島國家發起攻擊。
垃圾郵件以“Potrazivanje dugovanja”為主題,這是塞爾維亞和克羅地亞使用的一種語言,意思是“債務收集”,這意味著垃圾郵件偽裝成了收債通知。
垃圾郵件攜帶有一個嵌入惡意宏的Word文檔作為附件。
如果收件人在打開文檔後並單擊了“啟用內容(Enable Content)”按鈕,惡意宏將從遠程站點下載File Spider的可執行文件並執行它們。
這個惡意宏包含Base64編碼的PowerShell腳本,該腳本在執行時將從遠程站點下載名為“enc.exe”和“dec.exe”的XOR加密文件。
用於下載文件的網址是:
http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js
下載文件時,它們將被解密並保存到%AppData%\ Spider文件夾。
然後,PowerShell腳本將使用以下命令執行加密程序enc.exe、解密程序dec.exe以及圖形用戶界面(GUI):
"%AppData%\Roaming\Spider\enc.exe" spider ktn 100
"%AppData%\ Roaming\Spider\dec.exe" spider
完成這些步驟之後,File Spider將正式開始加密受害者的計算機文件。
當enc.exe運行時,它將掃描計算機硬盤,並使用AES-128加密算法對與目標擴展名匹配的所有文件進行加密。
然後,使用捆綁的RSA密鑰對此AES密鑰進行加密並保存
加密時,它將跳過位於以下文件夾:
當文件被加密時,它會將原始文件名記錄到%UserProfile%\ AppData \ Roaming \ Spider \ files.txt ,並將.spider擴展名附加到被加密文件的文件名中。
例如,名為test.jpg的文件在被加密後,文件名將更改為test.jpg.spider。
在被加密文件位於的文件夾中,enc.exe還將創建一個名為“ HOW TO DECRYPT FILES.url”的贖金票據。
當受害者打開這個文件時,一段視頻將被播放。
enc.exe還將在桌面上創建一個名為“DECRYPTER.url”的文件,該文件用於啟動dec.exe。
最後,enc.exe會在創建一個名為“%UserProfile%\ AppData \ Roaming \ Spider \ 5p1d3r”的文件後退出。
當dec.exe檢測到這個文件被創建時,它將顯示如下圖所示的圖形用戶界面。
圖形用戶界麵包含有多個選項卡,允許受害者切換英語或克羅地亞語。
主要用於顯示付款地址、聯繫電子郵箱地址、受害者ID、解密密鑰輸入框和幫助說明。
當打開這個付款地址時,頁面會提示受害者使用圖形用戶界面中的受害者ID進行登錄。
登錄後,將看到一個頁面,提供有關如何支付贖金(贖金設定為0.00726比特幣,約價值123.25美元)的說明,以獲取文件。
研究人員表示,對於File Spider的分析目前還在進行中。
但由於AES密鑰使用了捆綁的RSA密鑰進行加密,因此文件幾乎不可能被免費解密。
CopyRight © 江民科技 1996 - 2021 版權所有 All Rights Reserved
總代理:
六合國際實業有限公司
E-mail:
jiangmin@jiangmin.com.tw