File Spider: Νέο ransomware εμφανίστηκε σε Βαλκανικές χώρες

Ένα νέο Ransomware με όνομα File Spider έκανε την εμφάνιση του σε διάφορες Βαλκανικές χώρες.

Το File Spider εξαπλώνεται μέσω spam emails και εντοπίστηκε για πρώτη φορά σε Κροατία, Βοσνία & Ερζεγοβίνη και Σερβία. Η αρχή γίνεται με ένα email που φθάνει στον χρήστη με όνομα “Potrazivanje dugovanja” το οποίο στα Αγγλικά μεταφράζεται ως “Debt Collection”. Περιέχει ένα επισυναπτόμενο κακόβουλο Word αρχείο. Θεωρητικά μπορεί να εμφανιστεί το περιεχόμενο μέσω της λεγόμενης “Προστατευμένη προβολή”, όμως εάν επιλέξει κάποιος να το επεξεργαστεί ή να το κατεβάσει και να το ανοίξει τότε κάποιες μακροεντολές που περιέχει μέσα θα αρχίσουν να τρέχουν στον υπολογιστή σας.

Οι εντολές αυτές περιέχουν ένα Base64 PowerShell script το οποίο μόλις ενεργοποιηθεί κατεβάζει 2 κρυπτογραφημένα αρχεία XOR με όνομα dec.exe και enc.exe. Το πρώτο αφορά την αποκρυπτογράφηση και το γραφικό περιβάλλον του ransomware και το δεύτερο την διαδικασία κρυπτογράφησης που θα ακολουθήσει. Το enc.exe στοχεύει πάνω από 1000 διαφορετικούς τύπους αρχείων τα οποία και κρυπτογραφεί με AES-128 bit κωδικοποίηση δίνοντας τους στο τέλος την επέκταση “.spider”.

Σε κάθε φάκελο δημιουργείτε επιπλέον ένα αρχείο με όνομα “How to decrypt files.url” που στην ουσία είναι ένα site με ένα tutorial video για τα βήματα που χρειάζεται να ακολουθήσετε προκείμενου να ξεκλειδώσετε τα αρχεία σας. Το contact email είναι το (spider@protonmail.ch) και ως γνωστόν προκείμενου να σώσετε τα αρχεία σας θα πρέπει να καταβάλετε 0,00726 Bitcoins, δηλαδή περίπου 100 Ευρώ (με την σημερινή ισοτιμία).

Προς το παρόν, δεν φαίνεται να υπάρχει κάποιος τρόπος να γίνει δωρεάν η αποκρυπτογράφηση των αρχείων καθώς ο File Spider χρησιμοποιεί πολύ ισχυρούς αλγόριθμους που δεν σπάνε ακόμα με κάποιο δωρεαν πρόγραμμα.