درباره باج‌ افزار جدید عنکبوت

انتشار : 1396/10/11

این تهدید جدید به نام عنکبوت توسط یک سند آفیس توزیع می‌شود که ظاهراً کاربران را در بوسنی و هرزگوین، صربستان و کرواسی هدف قرار می‌دهد.

هرزنامه‌ها نشان می‌دهند که فرستنده به دنبال جمع‌آوری برخی بدهی‌ها از طرف گیرنده است تا کاربر را فریب دهد که پرونده‌ی پیوست‌شده را باز کند.

پژوهشگران امنیتی گفته‌اند که هنگام تجزیه و تحلیل یک پویش بدافزاری جدید، یک خانواده باج‌افزاری جدید کشف کردند که از اسناد جعلی برای توزیع، استفاده می‌کند.

این تهدید جدید به نام عنکبوت توسط یک سند آفیس توزیع می‌شود که ظاهراً کاربران را در بوسنی و هرزگوین، صربستان و کرواسی هدف قرار می‌دهد. هرزنامه‌ها نشان می‌دهند که فرستنده به دنبال جمع‌آوری برخی بدهی‌ها از طرف گیرنده است تا کاربر را فریب دهد که پرونده پیوست‌ شده را باز کند.

آمیت مالک از شرکت Netskope می‌گوید کد ماکروی مبهم‌سازی‌شده که در سند آفیس جاسازی شده است، یک اسکریپت پاورشل رمزنگاری‌شده‌ی Base۶۴ را اجرا می‌کند تا بار داده مخرب را بارگیری کند.
اگر این بدافزار موفق به آلوده کردن یک سامانه شود، شروع به رمزنگاری پرونده‌های کاربر می‌کند و «.spider» را به پرونده‌های آلوده اضافه می‌کند.

یک رمزگشا برای نمایش رابط کاربری طراحی شده است که به کاربران این امکان را می‌دهد که با استفاده از یک کلید رمزگشایی، پرونده‌ها را رمزگشایی کنند. لورنس آبرامز از شرکت BleepingComputer تشریح می‌کند که هم‌زمان با رمزنگار و تا زمانی که فرآیند رمزنگاری کامل شود، این رمزگشا هم در پس‌زمینه اجرا می‌شود.

پس از اتمام فرآیند رمزنگاری، رمزگشا یک هشدار نمایش می‌دهد که نحوه‌ی رمزگشایی پرونده‌ها را به کاربران اطلاع می‌دهد. بخش کمکی نیز شامل پیوندها و ارجاع‌ها به منابع موردنیاز برای پرداخت است.
باج درخواستی برای پرداخت حدود ۱۲۰ دلار است.

شرکت Netskope می‌گوید: «از آن‌جا که باج‌افزار در حال تکامل است، مدیران باید در مورد تاثیر باج‌افزار و اطمینان از حفاظت داده‌های سازمان با پشتیبان‌گیری منظم از داده‌های حساس به کارکنان آموزش دهند. علاوه بر نمایش ماکروها به صورت پیش‌فرض، کاربران باید در مورد اسنادی که تنها حاوی یک پیام برای فعال‌سازی ماکروها برای مشاهده‌ی محتویات هستند، احتیاط کنند و همچنین ماکروهای بدون امضاء و ماکروهای منابع نامعتبر را اجرا نکنند.

منبع : ایتنا