1.File Spider Ransomware – Mã độc tống tiền
Spam mail với chủ đề là “Potrazivanje dugovanja” (Thư thu nợ) đang phát tán một ransomeware mới có tên là File Spider.
Một Spam mail chứa File Spider
Một tài liệu Word document chứa macro độc hại được đính kèm trong spam mail này.
Word document độc hại
Nếu người dùng click vào Enable Editing, macro độc hại được nhúng trong document này sẽ tải về các tệp tin cài đặt ransomware.
Macro độc hại
Macro độc hại trong Word document có chứa một PowerShell script được mã hóa Base64. Khi macro được thực thi nó sẽ tải xuống tệp tin enc.exe và dec.exe đã được mã hóa XOR tại:
http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js
PowerShell script sau đó sẽ thực thi cả enc.exe và dec.exe theo lệnh sau:
“%AppData%\Roaming\Spider\enc.exe” spider ktn 100
“%AppData%\Roaming\Spider\dec.exe” spider
Lúc này File Spider sẽ bắt đầu mã hóa máy tính nạn nhân.
2. Cách File Spider mã hóa máy tính nạn nhân
Dec.exe là trình giải mã và là GUI của ransomware, nó sẽ lặng lẽ chạy nền cho đến khi trình enc.exe mã hóa xong các tập tin trong máy tính nạn nhân.
Trong khi enc.exe được thực thi, nó sẽ scan cục bộ trên máy tính nạn nhân và mã hóa bất kỳ tập tin nào có phần mở rộng phù hợp rồi mã hóa AES 128 bit. AES key sau đó sẽ được mã hóa RSA và lưu lại.
Khi scan, nó sẽ bỏ qua các tập tin ở các thư mục sau:
tmp
Videos
winnt
Application Data
Spider
PrefLogs
Program Files (x86)
Program Files
ProgramData
Temp
Recycle
System Volume Information
Boot
Windows
Khi các tập tin được mã hóa, nó sẽ lưu lại các tập tin gốc tại %UserProfile%\AppData\Roaming\Spider\files.txt và thêm phần mở rộng .spider phía sau. Ví dụ: một tập tin test.jpg sẽ được mã hóa và đổi tên thành test.jpg.spider.

Các tập tin được mã hóa
Tại mỗi thư mục có các tập tin được mã hóa cũng sẽ bao gồm một tập tin có tên là HOW TO DECRYPT FILES.url, khi người dùng click vào sẽ mở ra một video hướng dẫn tại đường dẫn: https://vid.me/embedded/CGyDc?autoplay=1&stats=1 và một tập tin trên Desktop có tên là DECRYPTER.url.
Sau khi hoàn thành, enc.exe sẽ tạo một tập tin %UserProfile%\AppData\Roaming\Spider\5p1d3r và kết thúc. Khi tiến trình dec.exe xác nhận tập tin 5p1d3r được tạo ra, nó sẽ hiển thị GUI giải mã như dưới đây:


Nạn nhân được yêu cầu truy cập đến trang thanh toán ẩn danh tại http://spiderwjzbmsmu7y.onion.
Khi người dùng đến trang ẩn danh đó, họ sẽ sử dụng ID được tìm thấy trong GUI giải mã để đăng nhập. Một khi login vào, họ sẽ thấy một trang hướng dẫn sử dụng .00726 bitcoins, khoảng $123.25 vào thời điểm bài viết này, để nhận được khóa giải mã khôi phục các tập tin mã hóa.
3. Cách bảo vệ khỏi File SPider Ransomware
– Luôn backup dữ liệu
– Sử dụng các phần mềm bảo mật kết hợp phát hiện hành vi độc hại chống lại ransomeware.
– Không mở các tập tin đính kèm mail mà không biết ai là người gửi chúng.
– Không mở các tập tin đính kèm mail cho đến khi thực sự xác nhận rằng người gửi đã gửi cho mình.
– Scan các tập đính kèm trước khi mở chúng ra, ví dụ sử dụng Virus Total.
– Cập nhật các bản Windows Update ngay khi xuất hiện và đảm bảo cập nhật các chương trình như Java, Flash, Adobe Reader…
– Sử dụng mật khẩu mạnh và không bao giờ sử dụng cùng một mật khẩu cho nhiều trang web.
– Sử dụng VPN để kết nối tới máy chủ từ xa.
Bleeping Computer
Phân tích chi tiết về mã độc:
http://www.sdkhere.com/2017/12/analysis-of-file-spider-ransomware.html
Danh sách phần mở rộng của các file mà là mục tiêu của File Spider:
lnk, url, contact, 1cd, dbf, dt, cf, cfu, mxl, epf, kdbx, erf, vrp, grs, geo, st, conf, pff, mft, efd, 3dm,
3ds, rib, ma, sldasm, sldprt, max, blend, lwo, lws, m3d, mb, obj, x, x3d, movie, byu, c4d, fbx, dgn, dwg,
4db, 4dl, 4mp, abs, accdb, accdc, accde, accdr, accdt, accdw, accft, adn, a3d, adp, aft, ahd, alf, ask,
awdb, azz, bdb, bib, bnd, bok, btr, bak, backup, cdb, ckp, clkw, cma, crd, daconnections, dacpac, dad,
dadiagrams, daf, daschema, db, db-shm, db-wal, db2, db3, dbc, dbk, dbs, dbt, dbv, dbx, dcb, dct, dcx,
ddl, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dxl, eco, ecx, edb, emd, eql, fcd, fdb, fic, fid,
fil, fm5, fmp, fmp12, fmpsl, fol, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc,
ihx, itdb, itw, jtx, kdb, lgc, maq, mdb, mdbhtml, mdf, mdn, mdt, mrg, mud, mwb, s3m, myd, ndf, ns2,
ns3, ns4, nsf, nv2, nyf, oce, odb, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth,
pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, sql, sqlite, sqlite3, sqlitedb, str,
tcx, tdt, te, teacher, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3,
ppt, pptx, 1st, abw, act, aim, ans, apt, asc, ascii, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna,
boc, btd, bzabw, chart, chord, cnm, crwl, cyi, dca, dgs, diz, dne, doc, docm, docx, docxml, docz, dot, dotm,
dotx, dsv, dvi, dx, eio, eit, email, emlx, epp, err, etf, etx, euc, fadein, faq, fb2, fbl, fcf, fdf, fdr, fds,
fdt, fdx, fdxt, fes, fft, flr, fodt, fountain, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht,
hs, htc, hwp, hz, idx, iil, ipf, jarvis, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, latex, lbt, lis, lit,
lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lxfml, lyt, lyx, man, map, mbox, md5txt, me, mell, min, mnt, msg,
mwp, nfo, njx, notes, now, nwctxt, nzb, ocr, odm, odo, odt, ofl, oft, openbsd, ort, ott, p7s, pages, pfs, pfx,
pjt, plantuml, prt, psw, pu, pvj, pvm, pwi, pwr, qdl, rad, readme, rft, ris, rng, rpt, rst, rt, rtd, rtf, rtx,
run, rzk, rzn, saf, safetext, sam, scc, scm, scriv, scrivx, sct, scw, sdm, sdoc, sdw, sgm, sig, skcard, sla,
slagz, sls, smf, sms, ssa, strings, stw, sty, sub, sxg, sxw, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc,
trelby, tvj, txt, u3d, u3i, unauth, unx, uof, uot, upd, utf8, unity, utxt, vct, vnt, vw, wbk, wcf, webdoc, wgz,
wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xbdoc, xbplate, xdl, xlf,
xps, xwp, xy3, xyp, xyw, ybk, yml, zabw, zw, 2bp, 036, 3fr, 0411, 73i, 8xi, 9png, abm, afx, agif, agp, aic,
albm, apd, apm, apng, aps, apx, art, artwork, arw, asw, avatar, bay, blkrt, bm2, bmp, bmx, bmz, brk, brn, brt,
bss, bti, c4, cal, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr,
dds, dgt, dib, dicom, djv, djvu, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dvl, ecw, eip, exr, fal, fax, fpos,
fpx, g3, gcdp, gfb, gfie, ggr, gif, gih, gim, gmbck, gmspr, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn,
icon, icpr, iiq, info, int, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jng, jp2,
jpe, jpeg, jpg, jpg2, jps, jpx, jtf, jwl, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf,
mpo, mrxs, myl, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, ai, asy, cdmm, cdmt, cdmtz, cdmz,
cdt, cgm, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, design, dhs, dpp, drw, dxb, dxf, egc, emf,
ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg,
gdraw, gem, glox, hpg, hpgl, hpl, idea, igt, igx, imd, vbox, vdi, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx,
mmat, mat, otg, ovp, ovr, pcs, pfd, pfv, pl, plt, pm, vrml, pmg, pobj, ps, psid, rdl, scv, sk1, sk2, slddrt,
snagitstamps, snagstyles, ssk, stn, svf, svg, svgz, sxd, tlc, tne, ufr, vbr, vec, vml, vsd, vsdm, vsdx, vstm,
stm, vstx, wmf, wpg, vsm, vault, xar, xmind, xmmap, yal, orf, ota, oti, ozb, ozj, ozt, pal, pano, pap, pbm, pc1,
pc2, pc3, pcd, pcx, pdd, pdn, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, png, pni,
pnm, pntg, pop, pp4, pp5, ppm, prw, psd, psdx, pse, psp, pspbrush, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs,
z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rwl, s2mv, sai, sci, sep,
sfc, sfera, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, ste, sumo, sva, save, ssfn, t2b, tb0, tbn,
tfc, tg4, thm, thumb, tif, tiff, tjp, tm2, tn, tpi, ufo, uga, usertile-ms, vda, vff, vpe, vst, wb1, wbc, wbd,
wbm, wbmp, wbz, wdp, webp, wpb, wpe, wvl, x3f, y, ysp, zif, cdr4, cdr6, cdrw, pdf, pbd, pbl, ddoc, css, pptm,
raw, cpt, tga, xpm, ani, flc, fb3, fli, mng, smil, mobi, swf, html, xls, xlsx, csv, xlsm, ods, xhtm, 7z, m2, rb,
rar, wmo, mcmeta, m4a, itm, vfs0, indd, sb, mpqge, fos, p7c, wmv, mcgame, db0, p7b, vdf, DayZProfile, p12,
d3dbsp, ztmp, rofl, sc2save, sis, hkx, pem, dbfv, sie, sid, bar, crt, sum, ncf, upk, cer, wb2, ibank, menu, das,
der, t13, layout, t12, dmp, litemod, dxg, qdf, blob, asset, xf, esm, forge, tax, 001, r3d, pst, pkpass, vtf, bsa,
bc6, dazip, apk, bc7, fpk, re4, bkp, mlx, sav, raf, qic, kf, lbf, bkf, iwd, slm, xlk, sidn, vpk, bik, mrwref,
xlsb, sidd, tor, epk, mddata, psk, rgss3a, itl, rim, pak, w3x, big, icxs, fsh, unity3d, hvpl, ntl, wotreplay,
crw, hplg, arch00, xxx, hkdb, lvl, desc, mdbackup, snx, py, srf, odc, syncdb, cfr, m3u, gho, ff, odp, cas,
vpp_pc, js, dng, lrf, c, cpp, cs, h, bat, ps1, php, asp, java, jar, class, aaf, aep, aepx, plb, prel, prproj,
aet, ppj, indl, indt, indb, inx, idml, pmd, xqx, fla, as3, as, docb, xlt, xlm, xltx, xltm, xla, xlam, xll,
xlw, pot, pps, potx, potm, ppam, ppsx, ppsm, sldx, sldm, aif, iff, m4u, mid, mpa, ra, 3gp, 3g2, asf, asx, vob,
m3u8, mkv, dat, efx, vcf, xml, ses, zip, 7zip, mp4, 3gp, webm, wmv