本月初, Netskope威脅研究實驗室研究人員在一次中等規模攻擊活動分析時, 意外發現了一個新的勒索軟體家族——“蜘蛛”, 其使用的誘餌文檔被自動同步至企業雲存儲以及各類協作應用當中。
“蜘蛛”勒索軟體如何“捕獲”獵物?“蜘蛛”這一新型威脅最初被發現於一份Office文檔當中, 當時這份文檔被用於攻擊波黑、塞爾維亞以及克羅埃西亞等國的用戶。 企圖通過釣魚電子郵件“謊稱收件人應向其繳清債務”, 引導使用者打開附件。
Neskope公司的阿米特-馬利克(Amit Malik)指出, 該Office文檔當中嵌有經過混淆的宏代碼, 可啟動一條經過Base64加密的PowerShell腳本以下載惡意載荷。
與之對應的解密器能夠顯示使用者介面, 並允許使用者利用解密金鑰完成檔解密。 該解密器與加密器一同執行, 但將始終保持後臺執行, 直到加密過程完成。
根據馬利克的解釋, “蜘蛛”解密器會監視系統進程, 並阻止諸如taskmgr、procexp、msconfig、regedit、cmd、outlook、winword、excel以及msaccess等工具的啟動。
哪些檔不被加密?“蜘蛛”在加密過程中會自動跳過以下資料夾中的檔(即執行部分檔加密):tmp、Videos、winnt、Application Data、Spider、PrefLogs、Program Files (x86)、Program Files、ProgramData、Temp、Recycle、System Volume Information、Boot以及Windows。
勒索開始在加密過程結束後, “蜘蛛”之後就會向用戶索要約120美元的贖金, 該解密器會顯示一條警告資訊(英文、克羅埃西亞語版本), 通知用戶如何對檔進行解密。
目前, 能夠有效避免或者減小勒索攻擊損失的方式, 是企業的安全管理人員對員工進行勒索軟體的普及性教育, 培養對關鍵性資料進行定期備份的習慣, 以保證對企業資料的保護能力。 除了以預設方式禁用巨集之外, 使用者必須謹慎對待一切需要啟用巨集功能才可查看內容的檔, 同時, 不執行任何來自非受信來源的巨集或未簽名巨集。