[Ransomware] File Spider – Mã độc tống tiền mới đang được phát tán qua Mail Spam

By | 2:08 pm | 12/12/2017

1.File Spider Ransomware – Mã độc tống tiền

Spam mail với chủ đề là “Potrazivanje dugovanja” (Thư thu nợ) đang phát tán một ransomeware mới có tên là File Spider.

spam-emailMột Spam mail chứa File Spider

 Một tài liệu Word document chứa macro độc hại được đính kèm trong spam mail này.

malicious-word-docWord document độc hại

Nếu người dùng click vào Enable Editing, macro độc hại được nhúng trong document này sẽ tải về các tệp tin cài đặt ransomware.

malicious-word-doc-macroMacro độc hại

Macro độc hại trong Word document có chứa một PowerShell script được mã hóa Base64. Khi macro được thực thi nó sẽ tải xuống tệp tin enc.exe và dec.exe đã được mã hóa XOR tại:

http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js

PowerShell script sau đó sẽ thực thi cả enc.exe và dec.exe theo lệnh sau:

“%AppData%\Roaming\Spider\enc.exe” spider ktn 100
“%AppData%\Roaming\Spider\dec.exe” spider

Lúc này File Spider sẽ bắt đầu mã hóa máy tính nạn nhân.

2. Cách File Spider mã hóa máy tính nạn nhân

Dec.exe là trình giải mã và là GUI của ransomware, nó sẽ lặng lẽ chạy nền cho đến khi trình enc.exe mã hóa xong các tập tin trong máy tính nạn nhân.

Trong khi enc.exe được thực thi, nó sẽ scan cục bộ trên máy tính nạn nhân và mã hóa bất kỳ tập tin nào có phần mở rộng phù hợp rồi mã hóa AES 128 bit. AES key sau đó sẽ được mã hóa RSA và lưu lại.

Khi scan, nó sẽ bỏ qua các tập tin ở các thư mục sau:

tmp
Videos
winnt
Application Data
Spider
PrefLogs
Program Files (x86)
Program Files
ProgramData
Temp
Recycle
System Volume Information
Boot
Windows

Khi các tập tin được mã hóa, nó sẽ lưu lại các tập tin gốc tại %UserProfile%\AppData\Roaming\Spider\files.txt và thêm phần mở rộng .spider phía sau. Ví dụ: một tập tin test.jpg sẽ được mã hóa và đổi tên thành test.jpg.spider.

encrypted-files

Các tập tin được mã hóa

Tại mỗi thư mục có các tập tin được mã hóa cũng sẽ bao gồm một tập tin có tên là HOW TO DECRYPT FILES.url, khi người dùng click vào sẽ mở ra một video hướng dẫn tại đường dẫn: https://vid.me/embedded/CGyDc?autoplay=1&stats=1 và một tập tin trên Desktop có tên là DECRYPTER.url.

Sau khi hoàn thành, enc.exe sẽ tạo một tập tin %UserProfile%\AppData\Roaming\Spider\5p1d3r và kết thúc. Khi tiến trình dec.exe xác nhận tập tin 5p1d3r được tạo ra, nó sẽ hiển thị GUI giải mã như dưới đây:

file-spider-start-page  file-spider-visit-sitefile-spider-victim-id-code  decrypter-page

Nạn nhân được yêu cầu truy cập đến trang thanh toán ẩn danh tại http://spiderwjzbmsmu7y.onion.
Khi người dùng đến trang ẩn danh đó, họ sẽ sử dụng ID được tìm thấy trong GUI giải mã để đăng nhập. Một khi login vào, họ sẽ thấy một trang hướng dẫn sử dụng .00726 bitcoins, khoảng $123.25 vào thời điểm bài viết này, để nhận được khóa giải mã khôi phục các tập tin mã hóa.
3. Cách bảo vệ khỏi File SPider Ransomware
– Luôn backup dữ liệu
– Sử dụng các phần mềm bảo mật kết hợp phát hiện hành vi độc hại chống lại ransomeware.
– Không mở các tập tin đính kèm mail mà không biết ai là người gửi chúng.
– Không mở các tập tin đính kèm mail cho đến khi thực sự xác nhận rằng người gửi đã gửi cho mình.
– Scan các tập đính kèm trước khi mở chúng ra, ví dụ sử dụng Virus Total.
– Cập nhật các bản Windows Update ngay khi xuất hiện và đảm bảo cập nhật các chương trình như Java, Flash, Adobe Reader…
– Sử dụng mật khẩu mạnh và không bao giờ sử dụng cùng một mật khẩu cho nhiều trang web.
– Sử dụng VPN để kết nối tới máy chủ từ xa.

Bleeping Computer

Phân tích chi tiết về mã độc:
http://www.sdkhere.com/2017/12/analysis-of-file-spider-ransomware.html

Danh sách phần mở rộng của các file mà là mục tiêu của File Spider:

lnk, url, contact, 1cd, dbf, dt, cf, cfu, mxl, epf, kdbx, erf, vrp, grs, geo, st, conf, pff, mft, efd, 3dm, 
3ds, rib, ma, sldasm, sldprt, max, blend, lwo, lws, m3d, mb, obj, x, x3d, movie, byu, c4d, fbx, dgn, dwg, 
4db, 4dl, 4mp, abs, accdb, accdc, accde, accdr, accdt, accdw, accft, adn, a3d, adp, aft, ahd, alf, ask, 
awdb, azz, bdb, bib, bnd, bok, btr, bak, backup, cdb, ckp, clkw, cma, crd, daconnections, dacpac, dad, 
dadiagrams, daf, daschema, db, db-shm, db-wal, db2, db3, dbc, dbk, dbs, dbt, dbv, dbx, dcb, dct, dcx, 
ddl, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dxl, eco, ecx, edb, emd, eql, fcd, fdb, fic, fid, 
fil, fm5, fmp, fmp12, fmpsl, fol, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, 
ihx, itdb, itw, jtx, kdb, lgc, maq, mdb, mdbhtml, mdf, mdn, mdt, mrg, mud, mwb, s3m, myd, ndf, ns2, 
ns3, ns4, nsf, nv2, nyf, oce, odb, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, 
pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, sql, sqlite, sqlite3, sqlitedb, str, 
tcx, tdt, te, teacher, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, 
ppt, pptx, 1st, abw, act, aim, ans, apt, asc, ascii, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna, 
boc, btd, bzabw, chart, chord, cnm, crwl, cyi, dca, dgs, diz, dne, doc, docm, docx, docxml, docz, dot, dotm, 
dotx, dsv, dvi, dx, eio, eit, email, emlx, epp, err, etf, etx, euc, fadein, faq, fb2, fbl, fcf, fdf, fdr, fds, 
fdt, fdx, fdxt, fes, fft, flr, fodt, fountain, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, 
hs, htc, hwp, hz, idx, iil, ipf, jarvis, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, latex, lbt, lis, lit, 
lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lxfml, lyt, lyx, man, map, mbox, md5txt, me, mell, min, mnt, msg, 
mwp, nfo, njx, notes, now, nwctxt, nzb, ocr, odm, odo, odt, ofl, oft, openbsd, ort, ott, p7s, pages, pfs, pfx, 
pjt, plantuml, prt, psw, pu, pvj, pvm, pwi, pwr, qdl, rad, readme, rft, ris, rng, rpt, rst, rt, rtd, rtf, rtx, 
run, rzk, rzn, saf, safetext, sam, scc, scm, scriv, scrivx, sct, scw, sdm, sdoc, sdw, sgm, sig, skcard, sla, 
slagz, sls, smf, sms, ssa, strings, stw, sty, sub, sxg, sxw, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, 
trelby, tvj, txt, u3d, u3i, unauth, unx, uof, uot, upd, utf8, unity, utxt, vct, vnt, vw, wbk, wcf, webdoc, wgz, 
wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xbdoc, xbplate, xdl, xlf, 
xps, xwp, xy3, xyp, xyw, ybk, yml, zabw, zw, 2bp, 036, 3fr, 0411, 73i, 8xi, 9png, abm, afx, agif, agp, aic, 
albm, apd, apm, apng, aps, apx, art, artwork, arw, asw, avatar, bay, blkrt, bm2, bmp, bmx, bmz, brk, brn, brt, 
bss, bti, c4, cal, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, 
dds, dgt, dib, dicom, djv, djvu, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dvl, ecw, eip, exr, fal, fax, fpos, 
fpx, g3, gcdp, gfb, gfie, ggr, gif, gih, gim, gmbck, gmspr, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, 
icon, icpr, iiq, info, int, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jng, jp2, 
jpe, jpeg, jpg, jpg2, jps, jpx, jtf, jwl, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, 
mpo, mrxs, myl, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, ai, asy, cdmm, cdmt, cdmtz, cdmz, 
cdt, cgm, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, design, dhs, dpp, drw, dxb, dxf, egc, emf, 
ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, 
gdraw, gem, glox, hpg, hpgl, hpl, idea, igt, igx, imd, vbox, vdi, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, 
mmat, mat, otg, ovp, ovr, pcs, pfd, pfv, pl, plt, pm, vrml, pmg, pobj, ps, psid, rdl, scv, sk1, sk2, slddrt, 
snagitstamps, snagstyles, ssk, stn, svf, svg, svgz, sxd, tlc, tne, ufr, vbr, vec, vml, vsd, vsdm, vsdx, vstm, 
stm, vstx, wmf, wpg, vsm, vault, xar, xmind, xmmap, yal, orf, ota, oti, ozb, ozj, ozt, pal, pano, pap, pbm, pc1, 
pc2, pc3, pcd, pcx, pdd, pdn, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, png, pni, 
pnm, pntg, pop, pp4, pp5, ppm, prw, psd, psdx, pse, psp, pspbrush, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, 
z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rwl, s2mv, sai, sci, sep, 
sfc, sfera, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, ste, sumo, sva, save, ssfn, t2b, tb0, tbn, 
tfc, tg4, thm, thumb, tif, tiff, tjp, tm2, tn, tpi, ufo, uga, usertile-ms, vda, vff, vpe, vst, wb1, wbc, wbd, 
wbm, wbmp, wbz, wdp, webp, wpb, wpe, wvl, x3f, y, ysp, zif, cdr4, cdr6, cdrw, pdf, pbd, pbl, ddoc, css, pptm, 
raw, cpt, tga, xpm, ani, flc, fb3, fli, mng, smil, mobi, swf, html, xls, xlsx, csv, xlsm, ods, xhtm, 7z, m2, rb, 
rar, wmo, mcmeta, m4a, itm, vfs0, indd, sb, mpqge, fos, p7c, wmv, mcgame, db0, p7b, vdf, DayZProfile, p12, 
d3dbsp, ztmp, rofl, sc2save, sis, hkx, pem, dbfv, sie, sid, bar, crt, sum, ncf, upk, cer, wb2, ibank, menu, das, 
der, t13, layout, t12, dmp, litemod, dxg, qdf, blob, asset, xf, esm, forge, tax, 001, r3d, pst, pkpass, vtf, bsa,
 bc6, dazip, apk, bc7, fpk, re4, bkp, mlx, sav, raf, qic, kf, lbf, bkf, iwd, slm, xlk, sidn, vpk, bik, mrwref,
 xlsb, sidd, tor, epk, mddata, psk, rgss3a, itl, rim, pak, w3x, big, icxs, fsh, unity3d, hvpl, ntl, wotreplay,
 crw, hplg, arch00, xxx, hkdb, lvl, desc, mdbackup, snx, py, srf, odc, syncdb, cfr, m3u, gho, ff, odp, cas, 
vpp_pc, js, dng, lrf, c, cpp, cs, h, bat, ps1, php, asp, java, jar, class, aaf, aep, aepx, plb, prel, prproj,
 aet, ppj, indl, indt, indb, inx, idml, pmd, xqx, fla, as3, as, docb, xlt, xlm, xltx, xltm, xla, xlam, xll, 
xlw, pot, pps, potx, potm, ppam, ppsx, ppsm, sldx, sldm, aif, iff, m4u, mid, mpa, ra, 3gp, 3g2, asf, asx, vob,
 m3u8, mkv, dat, efx, vcf, xml, ses, zip, 7zip, mp4, 3gp, webm, wmv