محققان امنیتی خانواده ی جدید از باج افزارها با نام عنکبوت را کشف کردند که در قالب اسناد آفیس توزیع شده و کاربران از بوسنی و هرزگوین، صربستان و کرواسی را هدف قرار داده است. ایمیل های هرزنامه طوری وانمود می کند که فرستنده در حال تلاش برای جمع آوری بدهی های خود از گیرنده است تا کاربر را فریب دهد تا پرونده ضمیمه را باز کند.
کدهای ماکروی مخرب که در اسناد آفیس تعبیه شده، یک اسکریپت پاورشل که با Base64 کدگذاری شده را اجرا کرده و بار دادهی مخرب را دانلود میکند. اگر باجافزار موفق شود که سیستم قربانی را آلوده کند، رمزنگاری تمامی فایلها را آغاز کرده و به انتهای تمامی فایلهای رمزنگاریشده، پسوند .spider را اضافه میکند.
برای این باجافزار یک واسط رمزگشایی نیز طراحی شده که کاربر با وارد کردن کلیدهای رمزنگاری میتواند فایلهای رمزنگاریشده را بازیابی کند. به گفتهی محققان امنیتی، این بدافزار پردازههای سیستمی را مانیتور کرده و از اجرای ابزارهایی مانند taskmgr ،procexp ،msconfig ،regedit ،cmd ،outlook ،winword ،excel و msaccess جلوگیری میکند. در فرآیند رمزنگاری نیز باجافزار از رمزنگاری فایلهای موجود در برخی پوشهها مانند tmp ،Videos ،winnt ،Program Files و برخی دیگر از پوشهها خودداری میکند.
پس از اتمام فرآیند رمزنگاری، ابزار رمزگشایی این موضوع را به کاربر قربانی اطلاع داده و به او اعلام میکند که چگونه میتواند فایلهای خود را بازیابی کند. بخش راهنما نیز نمایش داده شده و لینکها و ارجاعات لازم برای پرداخت باج ارائه شده است. باجی که این بدافزار درخواست میکند تقریبا برابر با ۱۲۰ دلار است.
همانطور که در چند سال اخیر مشاهده میشود، باجافزارها بیشتر و بیشتر شده و باید مدیران سازمانها راهکارهای صحیحی را اتخاذ کنند. بهعنوان مثال باید از پشتیبانگیری از فایلها مهم و حساس اطمینان حاصل شود و به کاربران آموزش داده شود در اسناد آفیس، ماکروهایی که دارای امضای قابل اعتمادی نیستند را فعال نکرده و اجرا نکنند.
