Noll
En ny form av ransomware har vuxit fram och distribueras via skadlig Office-dokument, som infekterar offer med fil-kryptering av skadlig kod.
Upptäckt av forskare vid Netskope, “Spindel Virus” ransomware kampanj var först upptäcktes den 10 December och är pågående.
Som många ransomware program, attack börjar med skadlig e-post till potentiella offer. Den e-ämnen och locka dokument visar angriparna är angelägna om att rikta offer på Balkan. Det är för närvarande okänt om angriparna är verksamma.
Den skadliga Microsoft Office-bilaga innehåller döljs av makro-kod som — om att makron har aktiverats-gör en PowerShell för att ladda ner den första etappen av ransomware nyttolasten från en mängd hemsida.
Efter detta PowerShell-skript avkodar den Base64-sträng och utför operationer för att avkoda den slutliga nyttolaster i ett .exe-fil-som innehåller Spindeln ransomware krypterande.
PowerShell-då lanserar krypterande, krypterar användarens filer, lägga till en”.spider’ förlängning till dem och sedan visa en gisslan anteckning.
Meddelandet talar om de offer de har blivit smittade med Spindel Virus och att de behöver för att göra en bitcoin betalning för “rätt knapp” för att få sina filer tillbaka.
Angriparna också utfärda ett hot att om betalning inte mottas inom 96 timmar, sina filer kommer att tas bort permanent. De lägger offer ska inte “försöka något dumt” som ransomware har “säkerhetsåtgärder” som raderar filer om offret försöker hämta tillbaka dem utan att betala lösen.
Spindeln ransomware not finns i två språk.
Bild: Netskope
En ytterligare anmärkning ger offret med instruktioner om hur man laddar ner Tor browser som krävs för att få tillgång till betalning webbplats, hur man skapar en dekryptering verktyg och hur du kan köpa bitcoin.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
“Detta kan tyckas komplicerat till dig, det är faktiskt riktigt enkelt”, not säger — tillade att det är också en instruktionsvideo inne i en “hjälp-sektionen’. Det gemensamma för ransomware distributörer att tillhandahålla denna typ av “tjänst” till offer, för om offren inte kan betala lösen, brottslingar kommer inte att göra pengar från deras kampanj.
Angriparna bakom Spider erbjuder en tutorial video till offer för att säkerställa att de kan köpa bitcoin för att betala lösen.
Bild: Netskope
Spindeln ransomware är fortfarande delas ut i vad forskarna kallar en “mid-scale-kampanj”.
Liksom att utbilda anställda om faran av ransomware och säkerhetskopiera viktiga filer, företag kan skydda sig från att bli smittad av Spider — och många andra former av fil-kryptering av skadlig kod — genom att ta bort makron som används som ett angrepp.
“Förutom att inaktivera makron som standard, men användarna måste också vara försiktig med att av dokument som endast innehåller ett meddelande för att aktivera makron för att visa innehållet och inte heller att köra osignerade makron makron från opålitliga källor,” sade Netscope är Amit Malik.
Eftersom Spider är en helt ny form av ransomware, det finns för närvarande ingen gratis dekryptering verktyg tillgängliga för brottsoffer att hämta filer.
De senaste och relaterade täckning
Ransomware är bitcoin problem: Hur kursuppgången innebär en huvudvärk för skurkar
Ransomware författarna drar från ökningen av cryptocurrency-men det är också att några oväntade problem för dem och andra mörka webben aktörer.
Ransomware: säkerhetsforskare plats framväxande nya stam av malware
‘Magniber’ ransomware som potentiellt skulle kunna vara ett experiment med människor bakom Cerber ransomware familj.
Denna ransomware-spridning av botnät nu screengrab skrivbordet för
Ny last levereras inom Necurs botnet-attacker som gör det möjligt för dessa att utföra skadliga kampanjer för att kontrollera om de arbetar och förbättra uppdateringar.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Otäck framtid ransomware: Fyra sätt mardröm är på väg att få ännu worseRansomware är bitcoin problem: Hur kursuppgången innebär en huvudvärk för crooksSecurity slutligen fick den medvetenhet som behövs i och med 2017. Vad händer nu? [MAG]Ingen mer ransomware: Hur en hemsida är att stoppa crypto-låsning skurkar i sin tracksThe framtida cyberkrig: Weaponised ransomware, IoT attacker och en ny kapprustning [TechRepublic]
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0