Novi zlonamjerni ransomware sadržaj nazvan File Spider širi se putem neželjene pošte i cilja korisnike u Bosni i Hercegovini, Srbiji te Hrvatskoj. Sam zlonamjerni ransomware sadržaj nalazi se u privitku neželjene pošte u zlonamjernoj Word datoteci, navodi Nacionalni CERT.

Naslovi spornih poruka su Potrazivanje dugovanja i drugi slični naslovi vezani uz naplatu dugova, novac te poslovanje. Nakon što žrtva na računalu otvori zlonamjerni Word dokument, aplikacija će ponuditi opciju Enable Editing te Enable Content. Nakon što korisnik odobri obje opcije, makro naredba ugrađena u zlonamjerni Word dokument preuzima izvršnu datoteku s udaljenog računala, pohranjuje ju u mapu %AppData% \Spider te pokreće.

Jednom pokrenuta macro naredba u zlonamjernom dokumentu, preuzima i izvršava ransomware na računalu, što će izazvati izvršavanje dva procesa naziva enc.exe dec.exeDec.exe proces neprimjetno se pokreće u pozadini, pruža GUI sučelje i služi za dešifriranje, dok enc.exe proces šifrira podatke na računalu.

Prilikom šifriranja, ransomware će preskočiti datoteke smještene u niže navedenim mapama:

  • tmp
  • Videos
  • winnt
  • Application Data
  • Spider
  • PrefLogs
  • Program Files (x86)
  • Program Files
  • ProgramData
  • Temp
  • Recycle
  • System Volume Information
  • Boot
  • Windows

U svakoj mapi u kojoj se nalazi šifrirana datoteka, pojavit će se i datoteka HOW TO DECRYPT FILES.url, koja će nakon pokretanja, otvoriti video upute kako dešifrirati podatke.

Također, na radnoj će se površini računala pojaviti datoteka DECRYPTER.url koja pokreće dec.exe datoteku. Nakon toga, enc.exe stvara datoteku %UserProfile%\AppData\Roaming\Spider\5p1d3r te se gasi. Nakon što dec.exe otkrije da je ta datoteka napravljena, žrtvi se prikazuje GUI sučelje s porukom napadača.

Podijeli: