Spider Ransomware tarafından hedef PC kullanıcıları

Computer Security News

Güvenlik araştırma hafta sonu bir orta ölçekli kampanya analiz edilirken, onlar yeni bir ransomware aile bulduk bildirdi. Yeni tehdit Spider ransomware denir ve yem belgeleri otomatik senkronize-kuruluş bulut depolama ve işbirliği uygulamaları için kullanır.

Uzmanlara göre Spider ransomware Bosna-Hersek, Sırbistan ve Hırvatistan kullanıcıları hedefleyen bir Office belgesi ile dağıtılır.

Gönderenin alıcının ekli dosya açma içine kullanıcı kandırmak, biraz borç toplamak olacakmış gibi spam e-postalar bak.

Ancak, Office belge başlattı bir Base64 gömülü obfuscated makro kodu PowerShell komut dosyası yerine kötü niyetli yükü indirmek için şifreli.

Bir kez sistem bulaştırmak, ransomware kullanıcının dosyaları şifreleme başlar ve her etkilenen dosya ‘.spider’ uzantısı ekler.

Neyse ki, bir decrypter kullanıcı arabirimi görüntülemek ve onlara bir şifre çözme anahtarını kullanarak dosyaların şifresini çözmek için oluşturuldu. ▐ifreleme ile birlikte yürütülecek olan, şifreleme işlemini tamamlayana kadar ancak, arka planda çalışır.

Netskope’nın uzman Amit Malik göre sistem işler ve vazife, procexp, msconfig, kral naibi, cmd, outlook, winword, gibi araçlar lansmanı engeller örümcek decrypter monitörler excel ve msaccess.

Şifreleme işlemi sırasında Spider ransomware aşağıdaki klasörlerdeki dosyaları atlar: tmp, videolar, winnt, uygulama verileri, örümcek, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, geri dönüşüm, System Volume Information, önyükleme ve Windows.

Şifreleme işlemi tamamlandığında, decrypter nasıl onların dosyaların şifresini çözmek kullanıcıları bilgilendirmek için bir uyarı (İngilizce ve Hırvat kullanılabilir) görüntüler.

Ayrıca, bağlantılar ve başvurular için yaklaşık 120 $ ödeme yapmak için gerekli tüm kaynakları içeren bir yardım bölümü vardır.

“Ransomware gelişmeye devam ettikçe, yöneticiler çalışanlar ransomware etkisi hakkında eğitmek ve kuruluşun verilerin korunması kritik verilerin düzenli yedekleme yaparak olun. Makroları varsayılan olarak devre dışı ek olarak, kullanıcılar aynı zamanda yalnızca içeriği görüntülemek ve ayrıca imzalanmamış makrolar ve makro güvenilir olmayan kaynaklardan gelen yürütmek değil için makroları etkinleştirmek için bir ileti içeren belgeleri karşı dikkatli olmalı” Netskope araştırmacılar durumu.


Leave a Reply

Your email address will not be published. Required fields are marked *