最近，研究人員意外發(fā)現(xiàn)了一個(gè)新的勒索軟件家族——“蜘蛛”，其使用的誘餌文檔被自動(dòng)同步至企業(yè)云存儲(chǔ)以及各類協(xié)作應(yīng)用當(dāng)中。

“蜘蛛”勒索軟件如何“捕獲”獵物？

“蜘蛛”這一新型威脅最初被發(fā)現(xiàn)于一份Office文檔當(dāng)中，當(dāng)時(shí)這份文檔被用于攻擊波黑、塞爾維亞以及克羅地亞等國的用戶。企圖通過釣魚電子郵件“謊稱收件人應(yīng)向其繳清債務(wù)”，引導(dǎo)用戶打開附件。

該Office文檔當(dāng)中嵌有經(jīng)過混淆的宏代碼，可啟動(dòng)一條經(jīng)過Base64加密的PowerShell腳本以下載惡意載荷。一旦該惡意軟件成功感染目標(biāo)系統(tǒng)，隨后會(huì)加密用戶文件，并為受影響文件添加“.spider（即蜘蛛）”擴(kuò)展名。

解密器與加密器一同執(zhí)行

與之對應(yīng)的解密器能夠顯示用戶界面，并允許用戶利用解密密鑰完成文件解密。該解密器與加密器一同執(zhí)行，但將始終保持后臺(tái)執(zhí)行，直到加密過程完成。

根據(jù)馬利克的解釋，“蜘蛛”解密器會(huì)監(jiān)視系統(tǒng)進(jìn)程，并阻止諸如taskmgr、procexp、msconfig、regedit、cmd、outlook、winword、excel以及msaccess等工具的啟動(dòng)。

哪些文件不被加密？

“蜘蛛”在加密過程中會(huì)自動(dòng)跳過以下文件夾中的文件（即執(zhí)行部分文件加密）：tmp、Videos、winnt、Application Data、Spider、PrefLogs、Program Files (x86)、Program Files、ProgramData、Temp、Recycle、System Volume Information、Boot以及Windows。

勒索開始

在加密過程結(jié)束后，“蜘蛛”之后就會(huì)向用戶索要約120美元的贖金，該解密器會(huì)顯示一條警告信息，通知用戶如何對文件進(jìn)行解密。其中還包含幫助信息，內(nèi)有鏈接以及完成支付所需資源的參考說明。

目前，能夠有效避免或者減小勒索攻擊損失的方式，是企業(yè)的安全管理人員對員工進(jìn)行勒索軟件的普及性教育，培養(yǎng)對關(guān)鍵性數(shù)據(jù)進(jìn)行定期備份的習(xí)慣，以保證對企業(yè)數(shù)據(jù)的保護(hù)能力。除了以默認(rèn)方式禁用宏之外，用戶必須謹(jǐn)慎對待一切需要啟用宏功能才可查看內(nèi)容的文件，同時(shí)，不執(zhí)行任何來自非受信來源的宏或未簽名宏。

ice

收藏 海報(bào)分享