Connect
To Top

Spora – groźny ransomware offline

Spora rozprzestrzenia się za pośrednictwem urządzeń USB, podobnie jak Gamarue czy Dinihou, szyfrując pliki na zainfekowanym komputerze.

Spora – wirus typu ransomware

Spora  została wykryta przez właścicieli witryny D Ransomware. O istnieniu wirusa poinformował na Twitterze MalwareHunterTeam. Specjaliści zajmujący się malwarem, a także użytkownicy Twittera, byli zaskoczeni profesjonalną stroną autorów ransomware oraz nietypowym sposobem rozliczaniem okupu. Jednak najgorsze jest to, że Spora potrafi szyfrować pliki w trybie offline (bez połączenia z Internetem).

Spora to wirus typu ransomware dystrybuowany za pośrednictwem załączników. Każdy złośliwy email zawiera plik HTA, który po wykonaniu rozpakowuje plik JavaScript („closed.js”), umieszczając go w folderze systemowym „%Temp%”. Plik JavaScript wypakowuje plik wykonywalny z losową nazwą i uruchamia go. Plik wykonywalny następnie zaczyna szyfrować pliki za pomocą szyfrowania RSA. W odróżnieniu innych wirusów typu ransomware, Spora nie zmienia nazwy zaszyfrowanych plików i skupia się tylko na kilku rozszerzeniach.  Wspomniany plik HTA rozpakowuje również plik DOCX. Jest on uszkodzony i podczas próby otwarcia, pojawia się komunikat o błędzie. To celowe działanie wprowadzające w błąd użytkownika,  któremu wydaje się, że pobieranie załącznika zakończyło się fiaskiem. Następuje szyfrowanie, a wirus wytwarza pliki .key oraz .html i umieszcza je w folderach zawierających zaszyfrowane dokumenty.

Szyfrowanie

Spora stosuje nietypowy mechanizm szyfrowania. Malware zawiera publiczny klucz RSA, ale nie wykorzystuje go do szyfrowania plików przechowywanych na komputerze ofiary.  Natomiast używa go do  zaszyfrowania unikalnego klucza AES, który jest generowany zawsze lokalnie na komputerze ofiary.

Jeśli ofiara zdecyduje się  zapłacić okup, wysyła zaszyfrowany klucz AES do strony internetowej wskazanej przez napastnika. Ten wykorzystuje wtedy prywatny klucz RSA do odszyfrowania klucza AES i odsyła go z powrotem w tej postaci do ofiary. W ten sposób pliki zostają odszyfrowane.

Poniższa tabela pokazuje wysokość opłat za rozszyfrowanie plików.

Dokumenty Office PDF CorelDraw/AutoCAD/Photoshop Bazy danych Zdjęcia Archiwa Okup w USD
2284 1550 0 0 1211 89 79-100
489 471 0 4 796 6 79-100
5223 374 206 12 12694 198 90-120
7991 7341 0 2194 8587 782 128-170
11160 9354 24 69 9774 242 146-190
12851 5188 1851 51 331031 1281 199-250
21173 7087 5 149 7069 730 214-270
25146 25829 29598 5463 105943 5818 280-350
138964 95087 218249 846 277541 22449 280-350
11810 7272 15306 10 27651 1471 280-350
30503 2135 40098 37 25271 1580 280-350
26375 20505 12178 3016 31505 2487 280-350
82319 40707 16931 314 38520 3607 280-360

 

 

 

Specyficzne zachowania Spora.

Spora nie potrafi ominąć UAC – czyli kontroli konta użytkownika. Oznacza to, że użytkownik zostanie zapytany, czy złośliwe oprogramowanie może dokonać zmian w używanym komputerze.

Spora usuwa „shadow volume copies”, co uniemożliwia systemowi Windows naprawianie błędów systemu podczas kolejnego uruchomienia.

Lista  zainfekowanych plików

Nazwy plików Opis SHA256 Wykryty jako
Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta HTA dropper 3fb2e50764dea9266ca8c20681a0e0bf60feaa34a52699cf2cf0c07d96a22553 Script.Trojan-Dropper.Spora.A
close.js JScript dropper e2fe74d890ddb516b4f21a6588c6e0bdbf3dd6f8c5116d707d08db7ebddf505a Script.Trojan-Dropper.Spora.G
81063163ded.exe, a277a133-ecde-c0f5-1591-ab36e22428bb.exe Spora PE plik, spakowany za pomocą UPX dbfd24cd70f02ddea6de0a851c1ef0f45f18b4f70e6f3d0f2e2aec0d1b4a2cbf Win32.Worm.Spora.B
doc_6d518e.docx Uszkodzony dokument Word 0ba39054a70802d0b59a18b873aab519e418dc9b0c81400d27614c9c085409ad  
Windows.lnk skrót złośliwego pliku   Win32.Worm.SporaLnk.A
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.HTML żądanie okupu    
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.KEY Zawiera statystki, ID kampanii, nazwę użytkownika, lokalizację, oznaczenie czasu, prywatny RSA klucz C1; zaszyfrowane    
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.LST Lista zaszyfrowanych plików    

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

1 + 20 =

More in Oprogramowanie - news

%d bloggers like this: