Упозорење – ширење малициозног садржаја типа "Spider" (Ransomware)

11.12.2017
У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава и упозорава све кориснике рачунара и мобилних уређаја о ширењу новог типа малициозног ransomware садржаја, под називом "Spider".

Малициозни садржај "Spider" је први пут регистрован 10.12.2017. и претпоставка је да се ради о типу ransomware-a "File-Spider". Овај вид малициозног софтвера закључава целокупну датотеку на корисничком рачунару или мобилном уређају и, као и други познати облици ransomware малициозних садржаја, захтева откуп енкрипционих кључева, како би корисници поново могли да приступе инфицираним датотекама.

У овом тренутку је познато да овај тип малициозног садржаја стиже са имејл адресе office@adriadoo.com. Све до сада примљене поруке написане су на српском језику, послате под насловом ''Потраживање дуговања – ХХХХХХХ'' и потписане од стране наводног приватног извршитеља, Ивана Азељковића. У тексту поруке се наводи да се спроводи извршење одређеног решења Основног суда у Београду, са назначеним бројем рачуна на који је неопходно уплатити наведене износе. У захтеву се налази и напомена да је садржај информације приватног карактера и да је због тога креиран Microsoft Word документ који је прослеђен као прилог (attachment). Такође се наводи да је након отварања прилога неопходно омогућити едитовање документа, кликом на опцију "Enable Editing", а затим кликом омогућити и опцију "Enable Content", која се налази на командној линији.

Информације о овом типу малициозног софтвера су објављене и на друштвеним мрежама, уз помињање подручја Балкана, што је тачан податак, јер су исти напади извршени на територији Републике Српске и БиХ.

Препорука Националног ЦЕРТ-а Републике Србије је да корисници не отварају прилог из наведеног мејла, као и да редовно креирају резервне копије свих важних датотека на својим рачунарима и мобилним уређајима.

Уколико је рачунар инфициран, препоруке су следеће:

• тренутно искључити инфицирани рачунар са локалне мреже,
• обавестити Национални ЦЕРТ Републике Србије путем имејл адресе info@cert.rs,
• НЕ ПЛАЋАТИ откуп енкриптованих кључева, јер корисницима није загарантовано да ће их добити, односно да ће њиховом применом бити омогућен поновни приступ инфицираним датотекама.