Pengguna PC yang ditargetkan oleh Spider Ransomware

Computer Security News

Keamanan peneliti melaporkan bahwa sementara menganalisis kampanye menengah selama akhir pekan, mereka telah menemukan keluarga baru ransomware. Ancaman baru disebut Spider ransomware dan menggunakan pemikat dokumen auto-disinkronisasikan ke aplikasi enterprise awan penyimpanan dan kolaborasi.

Menurut para ahli, Spider ransomware telah didistribusikan melalui dokumen Office yang menargetkan pengguna di Bosnia dan Herzegovina, Serbia dan Kroasia.

Spam email terlihat seperti pengirim akan mengumpulkan utang beberapa dari penerima, menipu pengguna ke membuka file terlampir.

Namun, kode makro mengaburkan tertanam dalam dokumen kantor Luncurkan Base64 dienkripsi PowerShell script sebaliknya untuk men-download payload berbahaya.

Setelah sistem yang terinfeksi, ransomware mulai mengenkripsi file pengguna dan menambahkan ekstensi ‘.spider’ setiap file yang terkena.

Untungnya, decrypter diciptakan untuk menampilkan antarmuka pengguna dan membiarkan mereka mendekripsi file menggunakan sebuah kunci dekripsi. Dijalankan bersama encrypter, namun, itu berjalan di latar belakang sampai proses enkripsi telah selesai.

Menurut Netskope ahli Amit Malik, laba-laba decrypter monitor sistem proses dan mencegah peluncuran alat seperti taskmgr, procexp, msconfig, regedit, cmd, outlook, winword, excel, dan msaccess.

Selama proses enkripsi, Spider ransomware melompat file dalam folder berikut: tmp, video, winnt, Data aplikasi, laba-laba, PrefLogs, file Program (x86), file Program, ProgramData, Temp, daur ulang, sistem informasi Volume, Boot, dan Windows.

Ketika proses enkripsi selesai, decrypter menampilkan peringatan (tersedia dalam bahasa Inggris dan bahasa Kroasia) untuk memberitahukan pengguna tentang cara mendekripsi file mereka.

Selain itu, ada bagian bantuan yang mencakup link dan referensi ke sumber daya yang dibutuhkan untuk melakukan pembayaran yang adalah sekitar $120.

“Sebagai ransomware terus berkembang, administrator harus mendidik karyawan tentang dampak dari ransomware dan memastikan perlindungan data organisasi dengan membuat cadangan biasa data kritis. Selain menonaktifkan Macro secara default, pengguna juga harus berhati-hati dari dokumen yang hanya mengandung pesan untuk mengaktifkan macro untuk melihat isi dan juga tidak untuk mengeksekusi unsigned makro dan makro dari sumber yang tidak terpercaya,” Netskope peneliti negara.


Leave a Reply

Your email address will not be published. Required fields are marked *