Spora – uwaga na groźny ransomware offline!
Spora została wykryta przez właścicieli witryny D Ransomware. O istnieniu wirusa poinformował na Twitterze MalwareHunterTeam. Specjaliści zajmujący się malwarem, a także użytkownicy Twittera, byli zaskoczeni profesjonalną stroną autorów ransomware oraz nietypowym sposobem rozliczaniem okupu. Jednak najgorsze jest to, że Spora potrafi szyfrować pliki w trybie offline (bez połączenia z Internetem).
Spora to wirus typu ransomware dystrybuowany za pośrednictwem załączników. Każdy złośliwy email zawiera plik HTA, który po wykonaniu rozpakowuje plik JavaScript („closed.js”), umieszczając go w folderze systemowym „%Temp%”. Plik JavaScript wypakowuje plik wykonywalny z losową nazwą i uruchamia go. Plik wykonywalny następnie zaczyna szyfrować pliki za pomocą szyfrowania RSA. W odróżnieniu innych wirusów typu ransomware, Spora nie zmienia nazwy zaszyfrowanych plików i skupia się tylko na kilku rozszerzeniach. Wspomniany plik HTA rozpakowuje również plik DOCX. Jest on uszkodzony i podczas próby otwarcia, pojawia się komunikat o błędzie. To celowe działanie wprowadzające w błąd użytkownika, któremu wydaje się, że pobieranie załącznika zakończyło się fiaskiem. Następuje szyfrowanie, a wirus wytwarza pliki .key oraz .html i umieszcza je w folderach zawierających zaszyfrowane dokumenty.
Szyfrowanie
Spora stosuje nietypowy mechanizm szyfrowania. Malware zawiera publiczny klucz RSA, ale nie wykorzystuje go do szyfrowania plików przechowywanych na komputerze ofiary. Natomiast używa go do zaszyfrowania unikalnego klucza AES, który jest generowany zawsze lokalnie na komputerze ofiary.
Jeśli ofiara zdecyduje się zapłacić okup, wysyła zaszyfrowany klucz AES do strony internetowej wskazanej przez napastnika. Ten wykorzystuje wtedy prywatny klucz RSA do odszyfrowania klucza AES i odsyła go z powrotem w tej postaci do ofiary. W ten sposób pliki zostają odszyfrowane.
Poniższa tabela pokazuje wysokość opłat za rozszyfrowanie plików.
Dokumenty Office | CorelDraw/AutoCAD/Photoshop | Bazy danych | Zdjęcia | Archiwa | Okup w USD | |
2284 | 1550 | 0 | 0 | 1211 | 89 | 79-100 |
489 | 471 | 0 | 4 | 796 | 6 | 79-100 |
5223 | 374 | 206 | 12 | 12694 | 198 | 90-120 |
7991 | 7341 | 0 | 2194 | 8587 | 782 | 128-170 |
11160 | 9354 | 24 | 69 | 9774 | 242 | 146-190 |
12851 | 5188 | 1851 | 51 | 331031 | 1281 | 199-250 |
21173 | 7087 | 5 | 149 | 7069 | 730 | 214-270 |
25146 | 25829 | 29598 | 5463 | 105943 | 5818 | 280-350 |
138964 | 95087 | 218249 | 846 | 277541 | 22449 | 280-350 |
11810 | 7272 | 15306 | 10 | 27651 | 1471 | 280-350 |
30503 | 2135 | 40098 | 37 | 25271 | 1580 | 280-350 |
26375 | 20505 | 12178 | 3016 | 31505 | 2487 | 280-350 |
82319 | 40707 | 16931 | 314 | 38520 | 3607 | 280-360 |
Specyficzne zachowania Spora
Spora nie potrafi ominąć UAC – czyli kontroli konta użytkownika. Oznacza to, że użytkownik zostanie zapytany, czy złośliwe oprogramowanie może dokonać zmian w używanym komputerze.
Spora usuwa „shadow volume copies”, co uniemożliwia systemowi Windows naprawianie błędów systemu podczas kolejnego uruchomienia.
Lista zainfekowanych plików
Nazwy plików | Opis | SHA256 | Wykryty jako |
Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta | HTA dropper | 3fb2e50764dea9266ca8c20681a0e0bf60feaa34a52699cf2cf0c07d96a22553 | Script.Trojan-Dropper.Spora.A |
close.js | JScript dropper | e2fe74d890ddb516b4f21a6588c6e0bdbf3dd6f8c5116d707d08db7ebddf505a | Script.Trojan-Dropper.Spora.G |
81063163ded.exe, a277a133-ecde-c0f5-1591-ab36e22428bb.exe | Spora PE plik, spakowany za pomocą UPX | dbfd24cd70f02ddea6de0a851c1ef0f45f18b4f70e6f3d0f2e2aec0d1b4a2cbf | Win32.Worm.Spora.B |
doc_6d518e.docx | Uszkodzony dokument Word | 0ba39054a70802d0b59a18b873aab519e418dc9b0c81400d27614c9c085409ad |
|
Windows.lnk | skrót złośliwego pliku |
| Win32.Worm.SporaLnk.A |
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.HTML | żądanie okupu |
|
|
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.KEY | Zawiera statystki, ID kampanii, nazwę użytkownika, lokalizację, oznaczenie czasu, prywatny RSA klucz C1; zaszyfrowane |
|
|
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.LST | Lista zaszyfrowanych plików |
|
|
Źródło: GDATA
