安全研究人員最近發現一款名為“File Spider(文件蜘蛛)”的新型勒索軟件正在通過垃圾電子郵件分發,目前正針對波黑、塞爾維亞和克羅地亞等巴爾干半島國家發起攻擊。
垃圾郵件以“Potrazivanje dugovanja”為主題,這是塞爾維亞和克羅地亞使用的一種語言,意思是“債務收集”,這意味著垃圾郵件偽裝成了收債通知。
垃圾郵件攜帶有一個嵌入惡意宏的Word文檔作為附件。
如果收件人在打開文檔后并單擊了“啟用內容(Enable Content)”按鈕,惡意宏將從遠程站點下載File Spider的可執行文件并執行它們。
這個惡意宏包含Base64編碼的PowerShell腳本,該腳本在執行時將從遠程站點下載名為“enc.exe”和“dec.exe”的XOR加密文件。用于下載文件的網址是:
http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js
下載文件時,它們將被解密并保存到%AppData% Spider文件夾。
然后,PowerShell腳本將使用以下命令執行加密程序enc.exe、解密程序dec.exe以及圖形用戶界面(GUI):
"%AppData%RoamingSpiderenc.exe" spider ktn 100
"%AppData%RoamingSpiderdec.exe" spider
完成這些步驟之后,File Spider將正式開始加密受害者的計算機文件。
當enc.exe運行時,它將掃描計算機硬盤,并使用AES-128加密算法對與目標擴展名匹配的所有文件進行加密。然后,使用捆綁的RSA密鑰對此AES密鑰進行加密并保存
加密時,它將跳過位于以下文件夾:
當文件被加密時,它會將原始文件名記錄到%UserProfile% AppData Roaming Spider files.txt ,并將.spider擴展名附加到被加密文件的文件名中。例如,名為test.jpg的文件在被加密后,文件名將更改為test.jpg.spider。
在被加密文件位于的文件夾中,enc.exe還將創建一個名為“ HOW TO DECRYPT FILES.url”的贖金票據。當受害者打開這個文件時,一段視頻將被播放。
enc.exe還將在桌面上創建一個名為“DECRYPTER.url”的文件,該文件用于啟動dec.exe。
最后,enc.exe會在創建一個名為“%UserProfile% AppData Roaming Spider 5p1d3r”的文件后退出。當dec.exe檢測到這個文件被創建時,它將顯示如下圖所示的圖形用戶界面。
圖形用戶界面包含有多個選項卡,允許受害者切換英語或克羅地亞語。主要用于顯示付款地址、聯系電子郵箱地址、受害者ID、解密密鑰輸入框和幫助說明。
當打開這個付款地址時,頁面會提示受害者使用圖形用戶界面中的受害者ID進行登錄。登錄后,將看到一個頁面,提供有關如何支付贖金(贖金設定為0.00726比特幣,約價值123.25美元)的說明,以獲取文件。
研究人員表示,對于File Spider的分析目前還在進行中。但由于AES密鑰使用了捆綁的RSA密鑰進行加密,因此文件幾乎不可能被免費解密。
京公網安備 11010502049343號