新型勒索软件File Spider来袭，伪装收债邮件袭击多个国家

近日，安全研究人员偶然发现一款新型勒索软件，名为“File Spider”，即文件蜘蛛，这款新型勒索软件目前正在通过垃圾邮件分发的方式在互联网中大肆传播，目前感染较为严重的地址在波黑、克罗地亚、塞尔维亚等国家。

携带File Spider勒索软件的垃圾邮件大多以Potrazivanje dugovanja为主题，该主题大题意思是“债务收集”，是克罗地亚和塞尔维亚当地语言。File Spider伪装成收债通知诱骗用户打开，垃圾邮件的附件中携带有一个嵌入恶意宏的Word文档，一旦收件人打开文档后单击了“启用内容”选项，恶意宏就会从远程站点下载并执行File Spider恶意软件的可执行文件。

据调查，该恶意宏内包含Base64编码的PowerShell脚本，该脚本一但被执行后就会从远程站点下载“enc.exe”和“dec.exe”的XOR加密文件，下载文件后，它们将会被解密并保存在%AppData%\ Spider文件夹处。下载保存完成后PowerShell脚本就会执行加密程序enc.exe并解密dec.exe，随后受害用户的计算机文件就会遭到加密。

在文件被勒索软件成功加密后，File Spider会将原始文件名给记录下来并将.spider扩展名附加至被加密的文件名中，并且在受加密的文件夹中，enc.exe会创建一个赎金票据，受害用户点击该文件后会自动播放一段视频，视频内容即是攻击者留下的联系方式。同时enc.exe还会在桌面创建一个名为DECRYPTER.url的文件，该文件是便于启动dec.exe。

目前不好的消息是，由于攻击者使用的AES密钥使得捆绑的RSA密钥加密了，因此文件基本上不可能被免费解密，至于解决措施正在进一步研究当中。

预防建议：

1、收到未知来源的邮件时，不要轻易点击和下载附件中的内容，文中的链接也要警惕;

2、及时更新安全软件，以保证第一时间能收到安全提示。