ice 最近,研究人员意外发现了一个新的勒索软件家族——“蜘蛛”,其使用的诱饵文档被自动同步至企业云存储以及各类协作应用当中。
“蜘蛛”勒索软件如何“捕获”猎物?
“蜘蛛”这一新型威胁最初被发现于一份Office文档当中,当时这份文档被用于攻击波黑、塞尔维亚以及克罗地亚等国的用户。企图通过钓鱼电子邮件“谎称收件人应向其缴清债务”,引导用户打开附件。
该Office文档当中嵌有经过混淆的宏代码,可启动一条经过Base64加密的PowerShell脚本以下载恶意载荷。一旦该恶意软件成功感染目标系统,随后会加密用户文件,并为受影响文件添加“.spider(即蜘蛛)”扩展名。
解密器与加密器一同执行
与之对应的解密器能够显示用户界面,并允许用户利用解密密钥完成文件解密。该解密器与加密器一同执行,但将始终保持后台执行,直到加密过程完成。
根据马利克的解释,“蜘蛛”解密器会监视系统进程,并阻止诸如taskmgr、procexp、msconfig、regedit、cmd、outlook、winword、excel以及msaccess等工具的启动。
哪些文件不被加密?
“蜘蛛”在加密过程中会自动跳过以下文件夹中的文件(即执行部分文件加密):tmp、Videos、winnt、Application Data、Spider、PrefLogs、Program Files (x86)、Program Files、ProgramData、Temp、Recycle、System Volume Information、Boot以及Windows。
勒索开始
在加密过程结束后,“蜘蛛”之后就会向用户索要约120美元的赎金,该解密器会显示一条警告信息,通知用户如何对文件进行解密。其中还包含帮助信息,内有链接以及完成支付所需资源的参考说明。
目前,能够有效避免或者减小勒索攻击损失的方式,是企业的安全管理人员对员工进行勒索软件的普及性教育,培养对关键性数据进行定期备份的习惯,以保证对企业数据的保护能力。除了以默认方式禁用宏之外,用户必须谨慎对待一切需要启用宏功能才可查看内容的文件,同时,不执行任何来自非受信来源的宏或未签名宏。
