Novi zlonamjerni ransomware sadržaj nazvan File Spider trenutno se širi putem neželjene pošte i cilja korisnike u Bosni i Hercegovini, Srbiji te Hrvatskoj. Sam zlonamjerni ransomware sadržaj nalazi se u privitku neželjene pošte u zlonamjernoj Word datoteci.

Naslovi spornih poruka su “Potrazivanje dugovanja” i drugi slični naslovi vezani uz naplatu dugova, novac te poslovanje. Nakon što žrtva na računalu otvori zlonamjerni Word dokument, aplikacija će ponuditi opciju “Enable Editing” te “Enable Content”. Nakon što korisnik odobri obje opcije, makro naredba ugrađena u zlonamjerni Word dokument preuzima izvršnu datoteku s udaljenog računala, pohranjuje ju u mapu %AppData% \Spider te pokreće.

Jednom pokrenuta macro naredba u zlonamjernom dokumentu, preuzima i izvršava ransomware na računalu, što će izazvati izvršavanje dva procesa naziva “enc.exe” i “dec.exe”. “Dec.exe” proces neprimjetno se pokreće u pozadini, pruža GUI sučelje i služi za dešifriranje, dok “enc.exe” proces šifrira podatke na računalu. 

Prilikom šifriranja, ransomware će preskočiti datoteke smještene u niže navedenim mapama:

• tmp
• Videos
• winnt
• Application Data
• Spider
• PrefLogs
• Program Files (x86)
• Program Files
• ProgramData
• Temp
• Recycle
• System Volume Information
• Boot
• Windows

U svakoj mapi u kojoj se nalazi šifrirana datoteka, pojavit će se i datoteka HOW TO DECRYPT FILES.url, koja će nakon pokretanja, otvoriti video upute kako dešifrirati podatke.

Također, na radnoj će se površini računala pojaviti datoteka DECRYPTER.url koja pokreće “dec.exe” datoteku. Nakon toga, “enc.exe” stvara datoteku %UserProfile%\AppData\Roaming\Spider\5p1d3r te se gasi. Nakon što “dec.exe” otkrije da je ta datoteka napravljena, žrtvi se prikazuje GUI sučelje s porukom napadača.

Prateći naputke u nastavku možete se zaštititi od zlonamjernog ransomware sadržaja:

• Redovito izrađujte sigurnosne kopije podataka. 
• Pobrinite se da svi uređaji koriste posljednju inačicu antivirusnog programa.
• Izbjegavajte preuzimanje sadržaja s nepoznatih izvora. 
• Ne otvarajte privitke elektroničke pošte koja je stigla s vama nepoznatog izvora. 
• Koristite se internetom odgovorno i savjesno. 
• Sumnjive privitke skenirajte putem usluge VirusTotal 

 Indikatori kompromitacije (IOCs) navedeni su ovdje.

Novi zlonamjerni ransomware sadržaj nazvan File Spider trenutno se širi putem neželjene pošte i cilja korisnike u Bosni i Hercegovini, Srbiji te Hrvatskoj. Sam zlonamjerni ransomware sadržaj nalazi se u privitku neželjene pošte u zlonamjernoj Word datoteci.

Naslovi spornih poruka su “Potrazivanje dugovanja” i drugi slični naslovi vezani uz naplatu dugova, novac te poslovanje. Nakon što žrtva na računalu otvori zlonamjerni Word dokument, aplikacija će ponuditi opciju “Enable Editing” te “Enable Content”. Nakon što korisnik odobri obje opcije, makro naredba ugrađena u zlonamjerni Word dokument preuzima izvršnu datoteku s udaljenog računala, pohranjuje ju u mapu %AppData% \Spider te pokreće.

Jednom pokrenuta macro naredba u zlonamjernom dokumentu, preuzima i izvršava ransomware na računalu, što će izazvati izvršavanje dva procesa naziva “enc.exe” i “dec.exe”. “Dec.exe” proces neprimjetno se pokreće u pozadini, pruža GUI sučelje i služi za dešifriranje, dok “enc.exe” proces šifrira podatke na računalu. 

Prilikom šifriranja, ransomware će preskočiti datoteke smještene u niže navedenim mapama:

• tmp
• Videos
• winnt
• Application Data
• Spider
• PrefLogs
• Program Files (x86)
• Program Files
• ProgramData
• Temp
• Recycle
• System Volume Information
• Boot
• Windows

U svakoj mapi u kojoj se nalazi šifrirana datoteka, pojavit će se i datoteka HOW TO DECRYPT FILES.url, koja će nakon pokretanja, otvoriti video upute kako dešifrirati podatke.

Također, na radnoj će se površini računala pojaviti datoteka DECRYPTER.url koja pokreće “dec.exe” datoteku. Nakon toga, “enc.exe” stvara datoteku %UserProfile%\AppData\Roaming\Spider\5p1d3r te se gasi. Nakon što “dec.exe” otkrije da je ta datoteka napravljena, žrtvi se prikazuje GUI sučelje s porukom napadača.

Prateći naputke u nastavku možete se zaštititi od zlonamjernog ransomware sadržaja:

• Redovito izrađujte sigurnosne kopije podataka. 
• Pobrinite se da svi uređaji koriste posljednju inačicu antivirusnog programa.
• Izbjegavajte preuzimanje sadržaja s nepoznatih izvora. 
• Ne otvarajte privitke elektroničke pošte koja je stigla s vama nepoznatog izvora. 
• Koristite se internetom odgovorno i savjesno. 
• Sumnjive privitke skenirajte putem usluge VirusTotal 

 Indikatori kompromitacije (IOCs) navedeni su ovdje.