本月初,Netskope威脅研究實驗室研究人員在一次中等規模攻擊活動分析時,意外發現了一個新的勒索軟件家族——“蜘蛛”,其使用的誘餌文檔被自動同步至企業云存儲以及各類協作應用當中。
全新“蜘蛛”勒索軟件出現,開始
“蜘蛛”勒索軟件如何“捕獲”獵物?
“蜘蛛”這一新型威脅最初被發現于一份Office文檔當中,當時這份文檔被用于攻擊波黑、塞爾維亞以及克羅地亞等國的用戶。企圖通過釣魚電子郵件“謊稱收件人應向其繳清債務”,引導用戶打開附件。
Neskope公司的阿米特-馬利克(Amit Malik)指出,該Office文檔當中嵌有經過混淆的宏代碼,可啟動一條經過Base64加密的PowerShell腳本以下載惡意載荷。一旦該惡意軟件成功感染目標系統,隨后會加密用戶文件,并為受影響文件添加“.spider(即蜘蛛)”擴展名。
解密器與加密器一同執行
與之對應的解密器能夠顯示用戶界面,并允許用戶利用解密密鑰完成文件解密。該解密器與加密器一同執行,但將始終保持后臺執行,直到加密過程完成。
根據馬利克的解釋,“蜘蛛”解密器會監視系統進程,并阻止諸如taskmgr、procexp、msconfig、regedit、cmd、outlook、winword、excel以及msaccess等工具的啟動。
哪些文件不被加密?
“蜘蛛”在加密過程中會自動跳過以下文件夾中的文件(即執行部分文件加密):tmp、Videos、winnt、Application Data、Spider、PrefLogs、Program Files (x86)、Program Files、ProgramData、Temp、Recycle、System Volume Information、Boot以及Windows。
全新“蜘蛛”勒索軟件出現,開始
勒索開始
在加密過程結束后,“蜘蛛”之后就會向用戶索要約120美元的贖金,該解密器會顯示一條警告信息(英文、克羅地亞語版本),通知用戶如何對文件進行解密。其中還包含幫助信息,內有鏈接以及完成支付所需資源的參考說明。
目前,能夠有效避免或者減小勒索攻擊損失的方式,是企業的安全管理人員對員工進行勒索軟件的普及性教育,培養對關鍵性數據進行定期備份的習慣,以保證對企業數據的保護能力。除了以默認方式禁用宏之外,用戶必須謹慎對待一切需要啟用宏功能才可查看內容的文件,同時,不執行任何來自非受信來源的宏或未簽名宏。
京公網安備 11010502049343號