E安全12月18日讯 本月初，Netskope威胁研究实验室研究人员在一次中等规模攻击活动分析时，意外发现了一个新的勒索软件家族——“蜘蛛”，其使用的诱饵文档被自动同步至企业云存储以及各类协作应用当中。

“蜘蛛”勒索软件如何“捕获”猎物？

“蜘蛛”这一新型威胁最初被发现于一份Office文档当中，当时这份文档被用于攻击波黑、塞尔维亚以及克罗地亚等国的用户。企图通过钓鱼电子邮件“谎称收件人应向其缴清债务”，引导用户打开附件。

Neskope公司的阿米特-马利克指出，该Office文档当中嵌有经过混淆的宏代码，可启动一条经过Base64加密的PowerShell脚本以下载恶意载荷。一旦该恶意软件成功感染目标系统，随后会加密用户文件，并为受影响文件添加“.spider（即蜘蛛）”扩展名。

解密器与加密器一同执行

与之对应的解密器能够显示用户界面，并允许用户利用解密密钥完成文件解密。该解密器与加密器一同执行，但将始终保持后台执行，直到加密过程完成。

根据马利克的解释，“蜘蛛”解密器会监视系统进程，并阻止诸如taskmgr、procexp、msconfig、regedit、cmd、outlook、winword、excel以及msaccess等工具的启动。

哪些文件不被加密？

“蜘蛛”在加密过程中会自动跳过以下文件夹中的文件（即执行部分文件加密）：tmp、Videos、winnt、Application Data、Spider、PrefLogs、Program Files (x86)、Program Files、ProgramData、Temp、Recycle、System Volume Information、Boot以及Windows。

勒索开始

在加密过程结束后，“蜘蛛”之后就会向用户索要约120美元的赎金，该解密器会显示一条警告信息（英文、克罗地亚语版本），通知用户如何对文件进行解密。其中还包含帮助信息，内有链接以及完成支付所需资源的参考说明。

目前，能够有效避免或者减小勒索攻击损失的方式，是企业的安全管理人员对员工进行勒索软件的普及性教育，培养对关键性数据进行定期备份的习惯，以保证对企业数据的保护能力。除了以默认方式禁用宏之外，用户必须谨慎对待一切需要启用宏功能才可查看内容的文件，同时，不执行任何来自非受信来源的宏或未签名宏。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/417040475.shtml