این تهدید جدید به نام عنکبوت توسط یک سند آفیس توزیع میشود که ظاهراً کاربران را در بوسنی و هرزگوین، صربستان و کرواسی هدف قرار میدهد.
هرزنامهها نشان میدهند که فرستنده به دنبال جمعآوری برخی بدهیها از طرف گیرنده است تا کاربر را فریب دهد که پروندهی پیوستشده را باز کند.
پژوهشگران امنیتی گفتهاند که هنگام تجزیه و تحلیل یک پویش بدافزاری جدید، یک خانواده باجافزاری جدید کشف کردند که از اسناد جعلی برای توزیع، استفاده میکند.
این تهدید جدید به نام عنکبوت توسط یک سند آفیس توزیع میشود که ظاهراً کاربران را در بوسنی و هرزگوین، صربستان و کرواسی هدف قرار میدهد. هرزنامهها نشان میدهند که فرستنده به دنبال جمعآوری برخی بدهیها از طرف گیرنده است تا کاربر را فریب دهد که پرونده پیوست شده را باز کند.
آمیت مالک از شرکت Netskope میگوید کد ماکروی مبهمسازیشده که در سند آفیس جاسازی شده است، یک اسکریپت پاورشل رمزنگاریشدهی Base۶۴ را اجرا میکند تا بار داده مخرب را بارگیری کند.
اگر این بدافزار موفق به آلوده کردن یک سامانه شود، شروع به رمزنگاری پروندههای کاربر میکند و «.spider» را به پروندههای آلوده اضافه میکند.
یک رمزگشا برای نمایش رابط کاربری طراحی شده است که به کاربران این امکان را میدهد که با استفاده از یک کلید رمزگشایی، پروندهها را رمزگشایی کنند. لورنس آبرامز از شرکت BleepingComputer تشریح میکند که همزمان با رمزنگار و تا زمانی که فرآیند رمزنگاری کامل شود، این رمزگشا هم در پسزمینه اجرا میشود.
پس از اتمام فرآیند رمزنگاری، رمزگشا یک هشدار نمایش میدهد که نحوهی رمزگشایی پروندهها را به کاربران اطلاع میدهد. بخش کمکی نیز شامل پیوندها و ارجاعها به منابع موردنیاز برای پرداخت است.
باج درخواستی برای پرداخت حدود ۱۲۰ دلار است.
شرکت Netskope میگوید: «از آنجا که باجافزار در حال تکامل است، مدیران باید در مورد تاثیر باجافزار و اطمینان از حفاظت دادههای سازمان با پشتیبانگیری منظم از دادههای حساس به کارکنان آموزش دهند. علاوه بر نمایش ماکروها به صورت پیشفرض، کاربران باید در مورد اسنادی که تنها حاوی یک پیام برای فعالسازی ماکروها برای مشاهدهی محتویات هستند، احتیاط کنند و همچنین ماکروهای بدون امضاء و ماکروهای منابع نامعتبر را اجرا نکنند.
منبع : ایتنا