Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Opisi virusa, 12.12.2017, 10:00 AM

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Korisnici interneta u Srbiji, Bosni i Hercegovini i Hrvatskoj ciljevi su novog ransomwarea nazvanog FileSpider koji se širi preko spam emailova koji sadrže maliciozne Word dokumente koji preuzimaju i instaliraju ransomware na računarima žrtava.

Spam emailovi su naslovljeni sa "Potraživanje dugovanja", a sadržaj emaila je na srpkom.

Ovi emailovi sadrže Word dokumente sa malicioznim makroima koji su predstavljeni kao obaveštenje o potraživanjima dugovanja.

Ako korisnik klikne na Enable Editing, ugrađeni makro koji sadrži PowerShell skriptu će preuzeti ransomware i pokrenuti ga. Makro preuzima dva fajla: enc.exe i dec.exe koji će, kada se dešifruju, biti sačuvani u %AppData%Spider folderu.

PowerShell skripta će zatim pokrenuti i enc.exe fajl, koji je enkripter, i dec.exe, koji je dekripter. Sada FileSpider počinje da šifruje fajlove na inficiranim računarima.

Dec.exe je dekripter i GUI za ransomware i on nečujno radi u pozadini dok enc.exe šifruje fajlove.

Enc.exe skenira lokalne diskove i šifruje sve fajlove sa odgovarajućim ekstenzijama sa AES-128 bitnom enkripcijom. AES ključ je zatim šifruje pomoću ugrađenog RSA ključa i zatim će biti sačuvan.

Ransomware ne šifruje fajlove u folderima tmp, Videos, winnt, Application Data, Spider, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, Recycle, System Volume Information, Boot, Windows.

Svakom šifrovanom fajlu dodaje se ekstenzija .spider.

U svakom folderu u kome ima šifrovanih fajlova, enkripter ostavlja obaveštenje nazvano HOW TO DECRYPT FILES.url, koje kada se na njega klikne otvara video tutorijal na adresi https://vid.me/embedded/CGyDc?autoplay=1&stats=1.

Enkripter ostavlja na radnoj površini fajl nazvan DECRYPTER.url, koji pokreće fajl dec.exe.

Na kraju, enc.exe će kreirati fajl %UserProfile%AppDataRoamingSpider5p1d3r. Kada dec.exe primeti da je taj fajl kreiran, on će prikazati GUI koji sadrži nekoliko tabova koji omogućavaju prelazak sa engleskog na srpski, prikazuje TOR sajt za plaćanje na http://spiderwjzbmsmu7y.onion, ID žrtve potreban za prijavljivanje na TOR sajt, dekripter i fajl za pomoć. GUI takođe sadrži i kontakt email [email protected]

Kada žrtva ode na TOR sajt od nje se traži da se prijavi pomoću pomenutog ID-ja. Kada se prijavi, žrtvi će biti prikazana stranica sa uputstvom kako da plati otkupninu, koja trenutno iznosi 0,00726 Bitcoina, ili oko 123 dolara, da bi joj fajlovi bili vraćeni.

Za sada nema besplatnog rešenja za ovaj ransomware.

Detaljnu analizu ovog malvera možete naći na blogu sdkhere.com.

Da biste se zaštitili od ovog ali i drugih ransomwarea, osim što bi trebalo da koristite pouzdani antivirus, trebalo bi da budete oprezni i ne otvarate priloge u emailovima za koje niste sigurni ko ih je poslao. Čak i ako poznajete pošiljoca, ne otvarajte prilog ako niste dobili potvrdu da je ta osoba zaista poslala takav email. Preuzimajte redovno najnovija ažuriranja za Windows, ali i za programe instalirane na računaru, jer se često dešava da distributeri malvera iskorišćavaju poznate bezbednosne propuste da bi inficirali računare. I na kraju, ne zaboravite na rezervne kopije važnih podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje