File Spider Ransomware
Un nuevo ransomware llamado File Spider se está distribuyendo a través del correo no deseado que apunta a las víctimas en Bosnia y Herzegovina, Serbia y Croacia
Estos correos electrónicos no deseados contienen documentos maliciosos de Word que descargarán e instalarán el ransomware de File Spider en la computadora de una víctima.
File Spider se está distribuyendo a través de malspam que parece estar dirigido a países como Croacia, Bosnia y Herzegovina y Serbia. El spam comienza con temas como "Potrazivanje dugovanja", que se traduce como "Debt Collection" y cuyo mensaje, según Google Translate, parece ser en serbio.
Estos correos electrónicos tendrán un documento de Word adjunto con macros maliciosas que pretende ser un aviso de cobro de deudas, que según Google Translate está escrito en croata.
Si un usuario hace clic en Habilitar edición, seguido de los botones Habilitar contenido, la macro incrustada descargará los archivos ejecutables de ransomware de un sitio remoto y los ejecutará.
La macro contiene una secuencia de comandos PowerShell codificada en Base64 que, cuando se ejecute, descargará archivos XOR encriptados llamados enc.exe y dec.exe de un sitio remoto. Las URL que se utilizan para descargar los archivos son actualmente:
https://yourjavascript.com/5118631477/javascript-dec-2-25-2.js https://yourjavascript.com/53103201277/javascript-enc-1-0-9.js
Al descargar los archivos, se descifrarán y se guardarán en la carpeta %AppData%\Spider
La secuencia de comandos de PowerShell ejecutará enc.exe, que es el encriptador, y dec.exe, que es el desencriptador y la interfaz gráfica de usuario, con los siguientes comandos:
"%AppData%\Roaming\Spider\enc.exe" spider ktn 100 "%AppData%\Roaming\Spider\dec.exe" spider
File Spider ahora comenzará a encriptar la computadora de la víctima.
Cómo File Spider encripta una computadora
Una vez que se ejecutan las macros en el documento malicioso, el ransomware se descargará y ejecutará en la computadora. Esto provocará que se ejecuten dos procesos llamados enc.exe y dec.exe. Dec.exe es el descifrador y la GUI del ransomware y se ejecutará silenciosamente en segundo plano hasta que enc.exe, que es el encriptador, termine de encriptar la computadora.Mientras enc.exe se está ejecutando, explorará los controladores locales de la computadora y encriptará cualquier archivo que coincida con la extensión específica con el cifrado AES-128 bit. Las extensiones de archivo que están dirigidas por File Spider se enumeran al final de este artículo. Esta clave AES luego se cifra usando una clave RSA incluida y se guarda
Al encriptar, omitirá los archivos ubicados en las siguientes carpetas
tmp Videos winnt Application Data Spider PrefLogs Program Files (x86) Program Files ProgramData Temp Recycle System Volume Information Boot Windows
Cuando un archivo está encriptado, registrará el nombre del archivo original en %UserProfile%\AppData\Roaming\Spider\files.txt y anexará la extensión .spider al nombre del archivo cifrado. Por ejemplo, un archivo llamado pepe.jpg se cifraría y luego se cambiaría a pepe.jpg.spider.
En cada carpeta en la que se encripta un archivo, el encriptador también creará una nota de rescate llamada HOW TO DECRYPT FILES.url , que cuando se haga clic abrirá un video tutorial en la URL https://vid.me/embedded/CGyDc?autoplay = 1 & stats = 1.
El encriptador también creará un archivo en el escritorio llamado DECRYPTER.url, que inicia el archivo dec.exe.
Finalmente, el programa enc.exe creará un archivo llamado %UserProfile%\AppData\Roaming\Spider\5p1d3r y saldrá . Cuando el programa dec.exe detecta que se ha creado este archivo, mostrará la GUI del desencriptador
Esta GUI contiene varias pestañas que le permiten cambiar el idioma entre inglés y croata, mostrar el sitio de pago de TOR ubicado en https://spiderwjzbmsmu7y.onion, el código de ID de la víctima que se necesita para iniciar sesión en el sitio TOR, el desencriptador y un archivo de ayuda. La GUI también contiene un correo electrónico de contacto de file-spider@protonmail.ch .
Cuando un usuario va al sitio de TOR, se le pedirá que inicie sesión con la identificación de víctima que se encuentra en la GUI de descifrado. Una vez iniciada la sesión, se les presentará una página que proporciona instrucciones sobre cómo pagar el rescate, que actualmente es .00726 bitcoins, o alrededor de $ 123.25, para recuperar los archivos.
El ransomware está siendo analizado actualmente, pero como la clave AES está encriptada con una clave RSA combinada, es poco probable que los archivos puedan descifrarse de forma gratuita.
Extensiones de archivos afectados por este ransomware:
lnk, url, contact, 1cd, dbf, dt, cf, cfu, mxl, epf, kdbx, erf, vrp, grs, geo, st, conf, pff, mft, efd, 3dm, 3ds, rib, ma, sldasm, sldprt, max, blend, lwo, lws, m3d, mb, obj, x, x3d, movie, byu, c4d, fbx, dgn, dwg, 4db, 4dl, 4mp, abs, accdb, accdc, accde, accdr, accdt, accdw, accft, adn, a3d, adp, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, bak, backup, cdb, ckp, clkw, cma, crd, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db-shm, db-wal, db2, db3, dbc, dbk, dbs, dbt, dbv, dbx, dcb, dct, dcx, ddl, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dxl, eco, ecx, edb, emd, eql, fcd, fdb, fic, fid, fil, fm5, fmp, fmp12, fmpsl, fol, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdb, mdbhtml, mdf, mdn, mdt, mrg, mud, mwb, s3m, myd, ndf, ns2, ns3, ns4, nsf, nv2, nyf, oce, odb, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, sql, sqlite, sqlite3, sqlitedb, str, tcx, tdt, te, teacher, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, ppt, pptx, 1st, abw, act, aim, ans, apt, asc, ascii, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna, boc, btd, bzabw, chart, chord, cnm, crwl, cyi, dca, dgs, diz, dne, doc, docm, docx, docxml, docz, dot, dotm, dotx, dsv, dvi, dx, eio, eit, email, emlx, epp, err, etf, etx, euc, fadein, faq, fb2, fbl, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, fountain, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hwp, hz, idx, iil, ipf, jarvis, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, latex, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lxfml, lyt, lyx, man, map, mbox, md5txt, me, mell, min, mnt, msg, mwp, nfo, njx, notes, now, nwctxt, nzb, ocr, odm, odo, odt, ofl, oft, openbsd, ort, ott, p7s, pages, pfs, pfx, pjt, plantuml, prt, psw, pu, pvj, pvm, pwi, pwr, qdl, rad, readme, rft, ris, rng, rpt, rst, rt, rtd, rtf, rtx, run, rzk, rzn, saf, safetext, sam, scc, scm, scriv, scrivx, sct, scw, sdm, sdoc, sdw, sgm, sig, skcard, sla, slagz, sls, smf, sms, ssa, strings, stw, sty, sub, sxg, sxw, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, trelby, tvj, txt, u3d, u3i, unauth, unx, uof, uot, upd, utf8, unity, utxt, vct, vnt, vw, wbk, wcf, webdoc, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xbdoc, xbplate, xdl, xlf, xps, xwp, xy3, xyp, xyw, ybk, yml, zabw, zw, 2bp, 036, 3fr, 0411, 73i, 8xi, 9png, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, artwork, arw, asw, avatar, bay, blkrt, bm2, bmp, bmx, bmz, brk, brn, brt, bss, bti, c4, cal, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, dicom, djv, djvu, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dvl, ecw, eip, exr, fal, fax, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gif, gih, gim, gmbck, gmspr, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, int, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jng, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jtf, jwl, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, myl, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, ai, asy, cdmm, cdmt, cdmtz, cdmz, cdt, cgm, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, design, dhs, dpp, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gdraw, gem, glox, hpg, hpgl, hpl, idea, igt, igx, imd, vbox, vdi, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, otg, ovp, ovr, pcs, pfd, pfv, pl, plt, pm, vrml, pmg, pobj, ps, psid, rdl, scv, sk1, sk2, slddrt, snagitstamps, snagstyles, ssk, stn, svf, svg, svgz, sxd, tlc, tne, ufr, vbr, vec, vml, vsd, vsdm, vsdx, vstm, stm, vstx, wmf, wpg, vsm, vault, xar, xmind, xmmap, yal, orf, ota, oti, ozb, ozj, ozt, pal, pano, pap, pbm, pc1, pc2, pc3, pcd, pcx, pdd, pdn, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, png, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psd, psdx, pse, psp, pspbrush, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rwl, s2mv, sai, sci, sep, sfc, sfera, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, ste, sumo, sva, save, ssfn, t2b, tb0, tbn, tfc, tg4, thm, thumb, tif, tiff, tjp, tm2, tn, tpi, ufo, uga, usertile-ms, vda, vff, vpe, vst, wb1, wbc, wbd, wbm, wbmp, wbz, wdp, webp, wpb, wpe, wvl, x3f, y, ysp, zif, cdr4, cdr6, cdrw, pdf, pbd, pbl, ddoc, css, pptm, raw, cpt, tga, xpm, ani, flc, fb3, fli, mng, smil, mobi, swf, html, xls, xlsx, csv, xlsm, ods, xhtm, 7z, m2, rb, rar, wmo, mcmeta, m4a, itm, vfs0, indd, sb, mpqge, fos, p7c, wmv, mcgame, db0, p7b, vdf, DayZProfile, p12, d3dbsp, ztmp, rofl, sc2save, sis, hkx, pem, dbfv, sie, sid, bar, crt, sum, ncf, upk, cer, wb2, ibank, menu, das, der, t13, layout, t12, dmp, litemod, dxg, qdf, blob, asset, xf, esm, forge, tax, 001, r3d, pst, pkpass, vtf, bsa, bc6, dazip, apk, bc7, fpk, re4, bkp, mlx, sav, raf, qic, kf, lbf, bkf, iwd, slm, xlk, sidn, vpk, bik, mrwref, xlsb, sidd, tor, epk, mddata, psk, rgss3a, itl, rim, pak, w3x, big, icxs, fsh, unity3d, hvpl, ntl, wotreplay, crw, hplg, arch00, xxx, hkdb, lvl, desc, mdbackup, snx, py, srf, odc, syncdb, cfr, m3u, gho, ff, odp, cas, vpp_pc, js, dng, lrf, c, cpp, cs, h, bat, ps1, php, asp, java, jar, class, aaf, aep, aepx, plb, prel, prproj, aet, ppj, indl, indt, indb, inx, idml, pmd, xqx, fla, as3, as, docb, xlt, xlm, xltx, xltm, xla, xlam, xll, xlw, pot, pps, potx, potm, ppam, ppsx, ppsm, sldx, sldm, aif, iff, m4u, mid, mpa, ra, 3gp, 3g2, asf, asx, vob, m3u8, mkv, dat, efx, vcf, xml, ses, zip, 7zip, mp4, 3gp, webm, wmv