به تازگي محققين امنيتي، یک خانواده‌ی باج‌افزاری جدید را يافته اند که از اسناد جعلی برای توزیع، استفاده می‌کند. اين بدافزار جدید با نام عنکبوت توسط یک سند آفیس توزیع می‌شود که ظاهراً کاربران را در بوسنی و هرزگوین، صربستان و کرواسی هدف قرار می‌دهد. با توجه به تحقيقات انجام شده بر روي ايميل ها و هرزنامه‌ها، نويسندگان اين بدافزار به دنبال فریب قربانيان براي باز نمودن پيوست ها و جمع آوري اطلاعات از آنها هستند.


طبق گفته Amit Malik از شرکت Netskope ، کد ماکروی مربوطه که در سند آفیس جاسازی شده است، یک اسکریپت PowerShell رمزنگاری‌شده‌ی Base64 را اجرا می‌کند تا داده‌ی مخرب را بارگیری کند. با اجرا شدن كدهاي اين بدافزار و آلوده شدن سيستم توسط آن، تمام پرونده ها در سيستم به صورت رمزنگاری در مي آيند و پسوند «spider» را به پرونده‌های آلوده اضافه می‌کند.
 يك رمزگشا برای نمایش رابط کاربر طراحی شده و کاربران را با استفاده از کلید decryption رمزگشایی می کند. طبق گفته لورنس آبرامز، BleepingComputer، اين رمز گشا در کنار encrypter در پس زمینه اجرا می شود تا زمانی که پردازش رمزگذاری کامل شود. پس از پايان عمليات رمز نگاري،  رمزگشا یک هشدار را به كاربر نمایش می‌دهد که نحوه‌ی رمزگشایی پرونده‌ها به کاربران و بخش کمکی نیز شامل پیوندها و ارجاع‌ها به منابع موردنیاز برای پرداخت مبلغ باج مي باشد.
 باج درخواستی برای پرداخت حدود ۱۲۰ دلار است.
 شرکت Netskope می‌گوید: «از آن‌جا که باج‌افزار در حال تکامل و پيشرفت مي باشد، مسئولين مربوطه باید به طور منظم و مكرر، پشتیبان‌گیری از داده‌های حساس  را به کارکنان آموزش دهند. همچنين در مورد اسنادی که تنها حاوی یک پیام برای فعال‌سازی ماکروها برای مشاهده‌ی محتویات هستند، احتیاط کنند و ماکروهای بدون امضاء و ماکروهای منابع نامعتبر را اجرا نکنند.»

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png