U Srbiji, Republici Srpskoj i BiH trenutno je u toku phishing kampanja kojom se širi Spider ransomware. Email preko kog se širi ransomware navodno stiže od privatnog izvršitelja Ivana Azeljkovića. Prema našim informacijama, privatni izvršitelj pod tim imenom i prezimenom ne postoji.

Phishing poruka je sledećeg sadržaja:

Primalac mejla navodno ima dugovanje prema banci i obaveštava se da naplatu dugovanja preuzima izvršitelj. U dva mejla koja su stigla do nas, koja su nam prosledili čitaoci, pominju se različite banke.

U prilogu mejla nalazi se Word dokument u kom su rešenje i kopija predmeta.

Dokument sadrži Macro koji pokreće Powershell skriptu, koja preko porta 80, sa adrese 80.241.212.33 skida javascript - yourjavascript.com/5118631477/javascript-dec-2-25-2.js koji povlači maliciozni sadržaj.

Kreiraju se dva fajla:

• C:\Users\Qr2xkN\AppData\Roaming\Spider\dec.exe
• C:\Users\Qr2xkN\AppData\Roaming\Spider\enc.exe

Prvi, enc.exe fajl je enkriptor, a drugi dec.exe je dekriptor i GUI koji se pokreće iz Start-upa.

Kada se žrtva zarazi, na ekranu izlazi poruka:

Palo Alto Networks Wildfire (cloud based malware sandbox service) prepoznaje fajl kao maliciozan, a više detalja o ovom ransomwareu možete da pogledate u izveštaju koji smo kreirali pomoću ovog sandboxa.

Šta da radite u slučaju da ste postali žrtva ransomwarea, pročitajte u našoj Ransomware Check listi.