新型勒索软件“File Spider”伪装攻击

新型勒索软件“File Spider”伪装成收债邮件，攻击波黑、塞尔维亚和克罗地亚等巴尔干半岛国家





安全研究人员最近发现一款名为“File Spider（文件蜘蛛）”的新型勒索软件正在通过垃圾电子邮件分发，目前正针对波黑、塞尔维亚和克罗地亚等巴尔干半岛国家发起攻击。
垃圾邮件以“Potrazivanje dugovanja”为主题，这是塞尔维亚和克罗地亚使用的一种语言，意思是“债务收集”，这意味着垃圾邮件伪装成了收债通知。






垃圾邮件携带有一个嵌入恶意宏的Word文档作为附件。






如果收件人在打开文档后并单击了“启用内容（Enable Content）”按钮，恶意宏将从远程站点下载File Spider的可执行文件并执行它们。

这个恶意宏包含Base64编码的PowerShell脚本，该脚本在执行时将从远程站点下载名为“enc.exe”和“dec.exe”的XOR加密文件。用于下载文件的网址是：

http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js

http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js

下载文件时，它们将被解密并保存到％AppData％\ Spider文件夹。

然后，PowerShell脚本将使用以下命令执行加密程序enc.exe、解密程序dec.exe以及图形用户界面（GUI）：

"%AppData%\Roaming\Spider\enc.exe" spider ktn 100

"%AppData%\Roaming\Spider\dec.exe" spider

完成这些步骤之后，File Spider将正式开始加密受害者的计算机文件。

当enc.exe运行时，它将扫描计算机硬盘，并使用AES-128加密算法对与目标扩展名匹配的所有文件进行加密。然后，使用捆绑的RSA密钥对此AES密钥进行加密并保存

加密时，它将跳过位于以下文件夹：

当文件被加密时，它会将原始文件名记录到％UserProfile％\ AppData \ Roaming \ Spider \ files.txt  ，并将.spider扩展名附加到被加密文件的文件名中。例如，名为test.jpg的文件在被加密后，文件名将更改为test.jpg.spider。

在被加密文件位于的文件夹中，enc.exe还将创建一个名为“ HOW TO DECRYPT FILES.url”的赎金票据。当受害者打开这个文件时，一段视频将被播放。

enc.exe还将在桌面上创建一个名为“DECRYPTER.url”的文件，该文件用于启动dec.exe。

最后，enc.exe会在创建一个名为“％UserProfile％\ AppData \ Roaming \ Spider \ 5p1d3r”的文件后退出。当dec.exe检测到这个文件被创建时，它将显示如下图所示的图形用户界面。

图形用户界面包含有多个选项卡，允许受害者切换英语或克罗地亚语。主要用于显示付款地址、联系电子邮箱地址、受害者ID、解密密钥输入框和帮助说明。

当打开这个付款地址时，页面会提示受害者使用图形用户界面中的受害者ID进行登录。登录后，将看到一个页面，提供有关如何支付赎金（赎金设定为0.00726比特币，约价值123.25美元）的说明，以获取文件。

研究人员表示，对于File Spider的分析目前还在进行中。但由于AES密钥使用了捆绑的RSA密钥进行加密，因此文件几乎不可能被免费解密。